What is PKI Hero
数字信任

什么是PKI?

从海底到太空的边缘,PKI建立了信任。在DigiCert,
我们帮助你在整个生态系统中管理和扩展它。
这就是现实世界中的数字信任。

什么是PKI?

公钥基础结构(PKI)是流程、技术和策略的系统,能让您对数据进行加密和签名。您可以颁发对用户、设备或服务进行身份验证的数字证书。这些证书可为公共Web页面和专用系统创建安全连接,其中专用系统包括您的虚拟专用网络(VPN)、内部Wi-Fi、Wiki页面,以及其他支持MFA的服务。有疑问?

什么是专用PKI?

专用PKI能让您利用通常由公共可信的CA所维护的中间根来颁发您自己的专用SSL证书。这能让您根据独特需求定制证书,并为内部流程按需部署证书。

What is Private PKI
常见的PKI用例

保护Web页面

加密文件 

对电子邮件进行身份验证和加密 

对连接到无线网络的节点进行身份验证

对VPN连接进行身份验证

PKI不仅能用于Web安全

尽管存在常见的误解,但PKI提供重要的身份验证措施,因此非常匹配爆炸式增长的IoT领域。

可定制

数字证书的尺寸可以扩大或缩小以适应任何类型的设备

可扩展

PKI易于扩展,因此您可以有效地管理大量证书

具有竞争力

IoT证书具有成本效益,并且大量采购价格更优惠

   

相关资源

白皮书

构建可扩展的PKI的5个步骤

英语
博客系列

如何构建可扩展的PKI 访谈系列

英语
白皮书

PKI—物联网安全解决方案

英语

有关于PKI的疑问?
请询问我们的PKI架构师团队。

通过提供我的个人信息并点击提交,我同意接收有关DigiCert产品和服务的邮件,并且我同意DigiCert及其附属公司根据DigiCert的隐私政策处理我的数据。
提交

常见问题与解答

什么是PKI?

公钥基础结构(PKI)是流程、技术和策略的系统,能让您对数据进行加密和/或签名。您可以颁发对用户、设备或服务进行身份验证的数字证书。这些证书可用于公共Web页面和专用内部服务(例如,用于对连接到您的VPN、Wiki、Wi-Fi的设备进行身份验证)

为什么我的组织应该使用PKI?

通过使用公钥基础结构(PKI),您可以大幅提高网络的安全级别。三个主要优势使其成为可能:

  • 身份验证:验证身份以确保只有经授权的用户和设备才能访问服务器。
  • 加密:使用证书创建加密的会话,以使信息能够私密地传输。
  • 数据完整性:确保设备和服务器之间来回传输的任何消息或数据均未被更改。

如何使用PKI?

PKI的常见用例包括但不限于:

  • 保护Web页面
  • 加密文件
  • 使用S/MIME对电子邮件消息进行身份验证和加密
  • 对连接到无线网络的节点进行身份验证
  • 对与您的VPN的连接进行身份验证
  • 使用TLS相互身份认证以对与包含企业数据的网站和服务的连接进行身份验证

什么是端到端加密?

端到端加密是指在您的设备上加密消息,然后在收件人的设备上进行解密。这意味着没有第三方可以拦截您的敏感数据。

什么是CA?

证书颁发机构(CA)是可信任的第三方,CA验证申请数字证书的组织的身份。在验证了组织的身份之后,CA会颁发证书并将组织的身份与公钥相绑定。数字证书可以信任,因为它已经链接至CA的根证书。

什么是数字证书?

数字证书证明持有者的身份。就像驾照一样,证书是由受信任的第三方颁发的,不能伪造,并包含识别信息.

什么是公钥和私钥,它们之间有何关系?

公钥和私钥用于加密和解密信息。只有私钥才能解密由公钥加密的信息。该密钥对被称为非对称加密技术(因为加密是使用不同的密钥完成的)。这两个密钥在数学上是相关的,但是无法使用一个密钥去决定另一个密钥。

什么是公共根和专用根?

在把身份绑定到公钥时,根证书提供签名。这是您识别证书是否有效以及您是否应该信任它的方式。

DigiCert是否提供公共PKI和专用PKI解决方案?

简短的回答是,提供。DigiCert提供公共PKI和专用PKI解决方案,以及平台和RESTful API,使您能够自动化证书管理并自定义PKI工作流程。您可能只与商业CA合作购买过公共SSL证书。如果将此作为您唯一的参考点,您可能会认为专用证书的费用与公共证书类似——但情况并非如此。使用DigiCert颁发专用数字证书的成本仅是公共证书成本的一小部分。

安全工程师和管理员有时会错误地认为,托管的专用PKI会限定某些证书配置文件。他们认为自己将只能访问由CA/浏览器论坛批准的证书配置文件。然而,DigiCert可以为您提供您所需要的任何证书配置文件。这些证书配置文件不必是SSL/TLS证书配置文件——甚至不必是X.509。

什么是MPKI?

托管PKI(MPKI)是CA提供的一种解决方案,能让您启动证书流程的自动化并自定义PKI工作流程。一旦贵组织达到了需要大量证书的阶段,就能从简化证书管理的MPKI解决方案中受益。

我们应该建立内部CA(建)还是使用托管CA(买)?

您可以使用内部CA保护您的内部服务(例如VPN、WiFi、Wiki等)。各类组织通常使用Microsoft CA来开展此项工作。然而,建立并维护内部CA可能既昂贵又耗时。在做出决定之前,您需要仔细考虑每一项的费用。许多CA提供托管解决方案,能够为您节省建立内部PKI所涉及的某些硬件、软件和人员成本。

什么是证书策略?

证书策略(CP)是用于确定PKI的不同参与者及其角色和职责的文档。CP指定了一些做法,例如如何使用证书,如何选择证书名称,如何生成密钥以及更多内容。通常在X.509证书的字段中指定关联的CP。如需了解有关CP的详细信息,请查看最新的参考文档(RFC 3647): https://tools.ietf.org/html/rfc3647

什么是密钥存储,我们应该如何处理密钥存储?

密钥存储,通常称为密钥存档,指安全地存储私钥以防止其丢失。为了满足FIPS要求并确保最高等级的安全性,我们建议您使用硬件安全模块(HSM)存储密钥。

什么是HSM?

HSM是用于安全密钥存储的基于加密硬件的选项。HSM的实体位置往往在本地,并且需要内部资源进行维护。这可能会耗费大量成本,但也确实存在价格相对较低的选择。例如,Microsoft Azure Key Vault在微软的云端HSM中提供密钥的安全存储。如果您的组织规模较小,或者没有足够的资源购买并维护自己的HSM,那么Microsoft Azure Key Vault是一个可行的解决方案。一些公共CA,包括DigiCert, 提供与Microsoft Azure的集成。

我如何开始建立PKI?

首先,您需要考虑自己的需求和目前所使用的技术,从而对您的环境进行评估。我们建议您采取以下五个步骤来启动工作:

  • 识别无法讨价还价的网络安全风险
  • 精确定位PKI能够降低的网络安全风险
  • 制定公共PKI和专用PKI的正确组合
  • 决定是建(内部CA)还是买(托管CA)
  • 确定如何将证书自动发送到设备

如果您需要帮助,请发送电子邮件至enterprise@digicert.com联系我们的PKI架构师。