向客户颁发客户端证书的最佳方法是什么?我们是否应该运行自己的证书服务(我们使用的是 Win 2008 R2),然后以这种方式颁发证书?是否有 CA 可以为我们颁发证书?Comodo 将为电子邮件颁发客户端证书,但我们需要它们来允许我们的客户访问我们的网站(通过浏览器和 API)。
答案1
专业的证书颁发机构在确保 CA 交易安全方面拥有更多经验,可以处理外包的需另付费。这张证书的价格可能是 10 美元,但它很可能符合适用于受监管行业和一般风险转移(转移出您的公司)的政府或商业标准。
虽然 10 美元的价格可能令人望而生畏,但请记住,CA 还会为您承担运营真正的CA
- 证书颁发机构物理外壳
- 经过培训的 PKI 员工
- 证书策略 (CP)
- 证书实践声明 - (CPS) 关于其如何运作的 SOP
- 通过独立审计师进行年度审计
- 硬件安全模块采购及运营
- 证书颁发机构软件操作(根 CA)
- 证书颁发机构软件操作(子 CA)
- 验证权限软件操作
- 服务器
- 数据中心空间
- 上述基础设施的安全审计
与 CA 合作可以使您运行注册机构,确定谁将获得凭证,并根据 CA 的具体模型将更痛苦的部分交给 CA。
基于 Windows 的 PKI 实施通常不安全,其 PKI 处于在线状态且容易被攻破,使公司面临风险。它们很少使用 HSM,而域管理员的攻破可能导致 PKI 完全被攻破。
标准数字证书既可用于访问网站,也可用于登录域、电子邮件加密、签名和物理输入,具体取决于证书和对象 ID (OID)。数字证书可以是软件(易受盗窃)或硬件(更安全,但仍可能通过恶意软件 MITM 攻击而受到破坏)。
许多公司面临着与您合作的 PKI 提供商提供建议的相同决定。但是,有几种模型可以实现这一点
- 培训员工并进行内部培训
- 聘请顾问并进行内部
- 使用外部提供商
- 内外混合
您可以轻松地向多家不同的 CA 和 PKI 提供商发出 RFI,以确定他们的成本,以及他们针对与您类似的要求执行的示例实施。有了更详细的 RFP,您可以对在公司内部运行 PKI 服务、外包或混合运行进行广泛的成本比较。
有了上述数据,并了解了公司的核心竞争力,您就可以决定是否应该在内部、外部以及与谁合作。即使您决定继续在内部进行,您也会在此过程中学到更多东西。