Można używać certyfikatów pochodzących z publicznych ośrodków certyfikacji (CA) lub utworzyć i prowadzić prywatny ośrodek certyfikacji, który będzie wydawać certyfikaty. Sposób uzyskania certyfikatów zależy od ich planowanego wykorzystania.
Wybór jednej z powyższych opcji zależy od wielu czynników, wśród których jednym z najważniejszych jest środowisko, w którym używane są certyfikaty. Poniżej przedstawiono pewne informacje mogące pomóc w określeniu, które opcje implementacyjne są najlepsze do określonych wymagań dotyczących firmy i ochrony.
Korzystanie z certyfikatów publicznych
Publiczne internetowe ośrodki certyfikacji (CA) wystawiają certyfikaty każdemu, kto wniesie odpowiednią opłatę. Jednak ośrodki te przed wystawieniem certyfikatu wymagają potwierdzenia tożsamości. Poziom wymaganych świadectw może być różny, zależnie od strategii identyfikacji stosowanej przez dany ośrodek. Przed podjęciem decyzji o uzyskaniu certyfikatu z danego ośrodka lub zaliczeniu go do ośrodków zaufanych należy ocenić, czy rygorystyczność strategii identyfikacji stosowanej przez ten ośrodek spełnia przyjęte wymogi bezpieczeństwa. W miarę ewolucji standardów infrastruktury klucza publicznego dla protokołu X.509 (PKIX) niektóre publiczne ośrodki certyfikacji (CA) oferują coraz bardziej rygorystyczne procedury identyfikacji przy wystawianiu certyfikatów. Proces uzyskiwania certyfikatów z takich ośrodków jest bardziej złożony, jednak wydawane przez nie certyfikaty zapewniają lepszą ochronę dostępu do aplikacji przez niepowołanymi użytkowników. Digital Certificate Manager pozwala na korzystanie i zarządzanie certyfikatami wystawionymi przez ośrodki stosujące te nowe standardy certyfikacji.
Należy również wziąć pod uwagę koszty wystawienia certyfikatu przez ośrodek publiczny. Jeśli certyfikaty są potrzebne ograniczonej liczbie aplikacji serwerów lub klientów i użytkowników, koszt może nie być czynnikiem decydującym. Jednak w przypadku dużej liczby użytkowników prywatnych wymagających publicznego certyfikatu do uwierzytelniania klienta, koszt może nabrać szczególnego znaczenia. W takim przypadku należy również rozważyć czynności administracyjne i programistyczne w celu skonfigurowania aplikacji serwera do akceptowania tylko określonego podzbioru certyfikatów wystawianych przez publiczny ośrodek CA.
Korzystanie z certyfikatów wystawionych przez ośrodki publiczne może przyczynić się do oszczędności czasu i zasobów, ponieważ wiele aplikacji serwerów, klientów i użytkowników rozpoznaje większość powszechnie znanych publicznych ośrodków certyfikacji (CA). Ponadto inne firmy i inni użytkownicy mogą lepiej rozpoznawać certyfikaty wystawiane przez powszechnie znane ośrodki publiczne i ufać im bardziej niż certyfikatom wystawianym przez lokalny ośrodek prywatny.
Korzystanie z certyfikatów prywatnych
Utworzenie własnego lokalnego ośrodka CA pozwala wystawiać systemom i użytkownikom certyfikaty mające bardziej ograniczony zasięg, na przykład wewnątrz firmy lub organizacji. Utworzenie i obsługa własnego lokalnego ośrodka CA umożliwia wystawianie certyfikatów tylko zaufanym członkom grupy. Dzięki temu, że możliwa jest dokładniejsza kontrola jednostek, które mają certyfikaty, jak również osób, które mają dostęp do zasobów, zwiększa się bezpieczeństwo. Wadą utrzymywania własnego lokalnego ośrodka CA jest czas, który należy poświęcić, oraz środki, które należy zainwestować. Jednak Digital Certificate Manager znacznie ułatwia realizację tych czynności.
Jeśli lokalny ośrodek CA jest wykorzystywany do wystawiania użytkownikom certyfikatów w celu uwierzytelniania klientów, należy podjąć decyzję dotyczącą miejsca przechowywania certyfikatów użytkowników. Jeśli użytkownicy otrzymują certyfikaty z lokalnego ośrodka CA za pomocą programu DCM, to ich certyfikaty są domyślnie przechowywane wraz z profilem użytkownika. Jednak program DCM można skonfigurować do współpracy z EIM, co spowoduje przechowywanie certyfikatów w położeniu LDAP Jeśli certyfikaty użytkowników nie mają być w żaden sposób powiązane lub przechowywane z profilem użytkownika, można użyć funkcji API do programowego wystawiania certyfikatów użytkownikom serwerów innych niż System i.
Podczas rozstrzygania zagadnienia, które certyfikaty, prywatne czy publiczne, lepiej pasują do przyjętych wymogów dotyczących firmy i bezpieczeństwa, pomocne mogą okazać się scenariusze typowych zastosowań certyfikatów.
Zadania pokrewne