Certyfikaty publiczne a certyfikaty prywatne

Można używać certyfikatów pochodzących z publicznych ośrodków certyfikacji (CA) lub utworzyć i prowadzić prywatny ośrodek certyfikacji, który będzie wydawać certyfikaty. Sposób uzyskania certyfikatów zależy od ich planowanego wykorzystania.

Gdy zostanie podjęta decyzja o rodzaju ośrodka CA wydającego certyfikaty, należy wybrać implementację certyfikatu, która najlepiej pasuje do danych wymogów bezpieczeństwa. Możliwe opcje uzyskania certyfikatów obejmują:

zakupienie certyfikatów w publicznym, internetowym ośrodku certyfikacji (CA),
prowadzenie własnego lokalnego ośrodka CA w celu wystawiania prywatnych certyfikatów na potrzeby własnych użytkowników i aplikacji,
używanie kombinacji certyfikatów z publicznych ośrodków internetowych CA i z własnego lokalnego ośrodka CA.

Wybór jednej z powyższych opcji zależy od wielu czynników, wśród których jednym z najważniejszych jest środowisko, w którym używane są certyfikaty. Poniżej przedstawiono pewne informacje mogące pomóc w określeniu, które opcje implementacyjne są najlepsze do określonych wymagań dotyczących firmy i ochrony.

Korzystanie z certyfikatów publicznych

Publiczne internetowe ośrodki certyfikacji (CA) wystawiają certyfikaty każdemu, kto wniesie odpowiednią opłatę. Jednak ośrodki te przed wystawieniem certyfikatu wymagają potwierdzenia tożsamości. Poziom wymaganych świadectw może być różny, zależnie od strategii identyfikacji stosowanej przez dany ośrodek. Przed podjęciem decyzji o uzyskaniu certyfikatu z danego ośrodka lub zaliczeniu go do ośrodków zaufanych należy ocenić, czy rygorystyczność strategii identyfikacji stosowanej przez ten ośrodek spełnia przyjęte wymogi bezpieczeństwa. W miarę ewolucji standardów infrastruktury klucza publicznego dla protokołu X.509 (PKIX) niektóre publiczne ośrodki certyfikacji (CA) oferują coraz bardziej rygorystyczne procedury identyfikacji przy wystawianiu certyfikatów. Proces uzyskiwania certyfikatów z takich ośrodków jest bardziej złożony, jednak wydawane przez nie certyfikaty zapewniają lepszą ochronę dostępu do aplikacji przez niepowołanymi użytkowników. Digital Certificate Manager pozwala na korzystanie i zarządzanie certyfikatami wystawionymi przez ośrodki stosujące te nowe standardy certyfikacji.

Należy również wziąć pod uwagę koszty wystawienia certyfikatu przez ośrodek publiczny. Jeśli certyfikaty są potrzebne ograniczonej liczbie aplikacji serwerów lub klientów i użytkowników, koszt może nie być czynnikiem decydującym. Jednak w przypadku dużej liczby użytkowników prywatnych wymagających publicznego certyfikatu do uwierzytelniania klienta, koszt może nabrać szczególnego znaczenia. W takim przypadku należy również rozważyć czynności administracyjne i programistyczne w celu skonfigurowania aplikacji serwera do akceptowania tylko określonego podzbioru certyfikatów wystawianych przez publiczny ośrodek CA.

Korzystanie z certyfikatów wystawionych przez ośrodki publiczne może przyczynić się do oszczędności czasu i zasobów, ponieważ wiele aplikacji serwerów, klientów i użytkowników rozpoznaje większość powszechnie znanych publicznych ośrodków certyfikacji (CA). Ponadto inne firmy i inni użytkownicy mogą lepiej rozpoznawać certyfikaty wystawiane przez powszechnie znane ośrodki publiczne i ufać im bardziej niż certyfikatom wystawianym przez lokalny ośrodek prywatny.

Korzystanie z certyfikatów prywatnych

Utworzenie własnego lokalnego ośrodka CA pozwala wystawiać systemom i użytkownikom certyfikaty mające bardziej ograniczony zasięg, na przykład wewnątrz firmy lub organizacji. Utworzenie i obsługa własnego lokalnego ośrodka CA umożliwia wystawianie certyfikatów tylko zaufanym członkom grupy. Dzięki temu, że możliwa jest dokładniejsza kontrola jednostek, które mają certyfikaty, jak również osób, które mają dostęp do zasobów, zwiększa się bezpieczeństwo. Wadą utrzymywania własnego lokalnego ośrodka CA jest czas, który należy poświęcić, oraz środki, które należy zainwestować. Jednak Digital Certificate Manager znacznie ułatwia realizację tych czynności.

Jeśli lokalny ośrodek CA jest wykorzystywany do wystawiania użytkownikom certyfikatów w celu uwierzytelniania klientów, należy podjąć decyzję dotyczącą miejsca przechowywania certyfikatów użytkowników. Jeśli użytkownicy otrzymują certyfikaty z lokalnego ośrodka CA za pomocą programu DCM, to ich certyfikaty są domyślnie przechowywane wraz z profilem użytkownika. Jednak program DCM można skonfigurować do współpracy z EIM, co spowoduje przechowywanie certyfikatów w położeniu LDAP Jeśli certyfikaty użytkowników nie mają być w żaden sposób powiązane lub przechowywane z profilem użytkownika, można użyć funkcji API do programowego wystawiania certyfikatów użytkownikom serwerów innych niż System i.

Uwaga: Bez względu na to, który ośrodek CA zostanie wybrany do wystawiania certyfikatów, administrator systemu sprawuje kontrolę nad tym, który ośrodek CA będzie zaufanym dla danego systemu. Jeśli w przeglądarce znajduje się kopia certyfikatu ogólnie znanego ośrodka CA, przeglądarkę tę można skonfigurować tak, aby przyjmowała certyfikaty serwera wysłane przez ten ośrodek CA. Administratorzy ustawiają jako zaufane certyfikaty ośrodka CA w odpowiedniej bazie certyfikatów programu DCM, która zawiera kopie większości powszechnie znanych certyfikatów publicznych ośrodków CA. Jednak jeśli w bazie certyfikatów nie ma certyfikatu CA, serwer nie będzie ufał certyfikatom użytkownika lub klienta wystawionym przez ten ośrodek CA, dopóki nie zostanie dostarczona i zaimportowana kopia certyfikatu ośrodka CA. Kopia ta musi mieć odpowiedni format pliku i musi być dodana do bazy certyfikatów programu DCM.

Podczas rozstrzygania zagadnienia, które certyfikaty, prywatne czy publiczne, lepiej pasują do przyjętych wymogów dotyczących firmy i bezpieczeństwa, pomocne mogą okazać się scenariusze typowych zastosowań certyfikatów.

Zadania pokrewne

Po przyjęciu określonego sposobu używania certyfikatów oraz określeniu typu używanych certyfikatów, w celu wprowadzenia planu w życie, należy zapoznać się procedurami opisanymi w następujących sekcjach:

Tworzenie i prowadzenie prywatnego ośrodka CA: opisano tu zadania, które należy wykonać, jeśli zdecydowano się na utworzenie lokalnego ośrodka CA w celu wystawiania prywatnych certyfikatów.
Zarządzanie certyfikatami z publicznego internetowego ośrodka certyfikacji: opisano tu zadania, które trzeba wykonać, aby móc korzystać z certyfikatów wystawionych przez powszechnie znane ośrodki, w tym również ośrodki działające zgodnie ze standardami PKIX.
Korzystanie z lokalnych ośrodków CA na innych modelach serwera System i: opisano tu zadania, które należy wykonać, jeśli mają być używane certyfikaty z prywatnych lokalnych ośrodków CA działających w kilku systemach.