What is PKI

什麼是PKI?

瞭解為什麼PKI是確保您的
網站、装置、內部服務及其他領域的解決方案。

什麼是PKI?

公開金鑰基礎結構(PKI)是流程、技術和原則的系統,能讓您加密並簽署資料。您可以頒發對使用者、装置或服務進行身分驗證的數位憑證。這些憑證可為公用Web頁面和私人系統創建安全連線,其中私人系統包括您的虛擬私人網路(VPN)、內部Wi-Fi、Wiki頁面,以及其他支援MFA的服務。有疑問?

什麼是私人PKI?

私人PKI能讓您利用通常由公開信任的CA所維護的 中繼根 來頒發您自己的 私人SSL憑證。這能讓您根據獨特需求量身打造憑證,並為內部流程 按需部署憑證。

What is Private PKI

常見的PKI使用案例

保護Web頁面

加密檔案 

對電子郵件進行身分驗證和加密 

對連線到無線網路的節點進行身分驗證

對VPN連線進行身分驗證

PKI不僅能用於Web安全

儘管存在常見的誤解,但PKI提供重要的身分驗證措施,因此非常匹配爆炸式增長的IoT領域。

可自訂

數位憑證的尺寸可以擴大或縮小以適應任何類型的装置

可擴充

PKI易於擴充,因此您可以有效地管理大量憑證

具有競爭力

IoT憑證具有成本效益,並且大量採購價格更優惠

   

相關資源

白皮書

構建可擴充的PKI的5個步驟

英語
部落格系列

如何構建可擴充的PKI 面談系列

英語
白皮書

PKI—物聯網安全解決方案

英語

有關於PKI的疑問?
請詢問我們的PKI結構設計師團隊。

我關注:(請選擇所有適用的選項)
  • 1-5個TLS/SSL憑證
  • 6-25個TLS/SSL憑證
  • 企業級TLS/SSL選項
  • TLS/SSL管理工具
  • 適用於企業的PKI
  • IoT装置管理
  • DigiCert合作夥伴計畫
  • 私人PKI與S/MIME

按一下提交即表示您同意DigiCert, Inc.或其附屬機構根據DigiCert的 隱私權原則處理您的資料。

常見問題與解答

什麼是PKI?

公開金鑰基礎結構(PKI)是流程、技術和原則的系統,能讓您加密和/或簽署資料。您可以頒發對使用者、装置或服務進行身分驗證的 數位憑證。這些憑證可用於公用Web頁面和私人內部服務(例如,用於對連線到您的VPN、Wiki、Wi-Fi的装置進行身分驗證)

為什麼我的組織應該使用PKI?

透過使用公開金鑰基礎結構(PKI),您可以大幅提高網路的安全級別。三個主要優勢使其成為可能:

  • 身分驗證:驗證身分以確保只有經授權的使用者和装置才能存取伺服器。
  • 加密:使用憑證創建加密的工作階段,以使訊息能夠私密地傳輸。
  • 資料完整性:確保装置和伺服器之間來回傳輸的任何訊息或資料均未被更改。

如何使用PKI?

PKI的常見使用案例包括但不限於:

  • 保護Web頁面
  • 加密檔案
  • 使用S/MIME對電子郵件訊息進行身分驗證和加密
  • 對連線到無線網路的節點進行身分驗證
  • 對與您的VPN的連線進行身分驗證
  • 使用TLS相互身分認證以對與包含企業資料的網站和服務的連線進行身分驗證

什麼是端對端加密?

端對端加密是指在您的装置上加密訊息,然後在收件者的装置上進行解密。這意味著沒有第三方可以攔截您的敏感性資料。

什麼是CA?

憑證授權中心(CA)是可信任的第三方,CA驗證申請數位憑證的組織的身分。在驗證了組織的身分之後,CA會頒發憑證並將組織的身分繫結至公開金鑰。數位憑證可以信任,因為它已經鏈結至CA的根憑證。

什麼是數位憑證?

數位憑證證明持有者的身分。就像駕照一樣,憑證是由受信任的第三方頒發的,不能偽造,並包含識別訊息。

什麼是公開金鑰和私密金鑰,它們之間有何關係?

公開金鑰和私密金鑰用於加密和解密訊息。只有私密金鑰才能解密由公開金鑰加密的訊息。該金鑰對被稱為非對稱加密技術(因為加密是使用不同的金鑰完成的)。這兩個金鑰在數學上是相關的,但是無法使用一個金鑰去決定另一個金鑰。

什麼是公用根和私人根?

在把身分繫結至公開金鑰時,根憑證提供簽章。這是您識別憑證是否有效以及您是否應該信任它的方式。

DigiCert是否提供公用PKI和私人PKI解決方案?

簡短的回答是,提供。DigiCert提供公用PKI和私人PKI解決方案,以及平台和RESTful API,使您能夠自動化憑證管理並自訂PKI工作流程。您可能只與商業CA合作購買過公開SSL憑證。如果將此作為您唯一的參考點,您可能會認為私人憑證的費用與公開憑證類似——但情況並非如此。使用DigiCert頒發私人數位憑證的成本僅是公開憑證成本的一小部分。

安全工程師和管理員有時會錯誤地認為,託管的私人PKI會限定某些憑證設定檔。他們認為自己將只能存取由CA/Browser Forum核准的憑證設定檔。然而,DigiCert可以為您提供您所需要的任何憑證設定檔。這些憑證設定檔不必是SSL/TLS憑證設定檔——甚至不必是X.509。

什麼是MPKI?

受管理的PKI(MPKI)是CA提供的一種解決方案,能讓您啟動憑證流程的自動化並自訂PKI工作流程。一旦貴組織達到了需要大量憑證的階段,就能從簡化憑證管理的MPKI解決方案中受益。

我們應該建立內部CA(建)還是使用託管CA(買)?

您可以使用內部CA保護您的內部服務(例如VPN、WiFi、Wiki等)。各類組織通常使用Microsoft CA來開展此項工作。然而,建立並維護內部CA可能既昂貴又耗時。在做出決定之前,您需要仔細考慮每一項的費用。許多CA提供託管解決方案,能夠為您節省建立內部PKI所涉及的某些硬體、軟體和人員成本。

什麼是憑證原則?

憑證原則(CP)是用於確定PKI的不同執行者及其角色和職責的文件。CP指定了一些做法,例如如何使用憑證,如何選擇憑證名稱,如何生成金鑰以及更多內容。通常在X.509憑證的欄位中指定關聯的CP。如需瞭解有關CP的詳細訊息,請檢視最新的參考文件(RFC 3647): https://tools.ietf.org/html/rfc3647

什麼是金鑰儲存,我們應該如何處理金鑰儲存?

金鑰儲存,通常稱為金鑰封存,指安全地儲存私密金鑰以防止其丟失。為了滿足FIPS要求並確保最高等級的安全性,我們建議您使用硬體安全模組(HSM)儲存金鑰。

什麼是HSM?

HSM是用於安全金鑰儲存的基於加密硬體的選項。HSM的實體位置往往在內部,並且需要內部資源進行維護。這可能會耗費大量成本,但也確實存在價格相對較低的選擇。例如,Microsoft Azure Key Vault在Microsoft的雲端HSM中提供金鑰的安全儲存。如果您的組織規模較小,或者沒有足夠的資源購買並維護自己的HSM,那麼Microsoft Azure Key Vault是一個可行的解決方案。一些公用CA,包括DigiCert, 提供與Microsoft Azure的整合。

我如何開始建立PKI?

首先,您需要考慮自己的需求和目前所使用的技術,從而對您的環境進行評估。我們建議您採取以下五個步驟來啟動工作:

  • 識別無法討價還價的網路安全風險
  • 精確定位PKI能夠降低的網路安全風險
  • 制定公用PKI和私人PKI的正確組合
  • 決定是建(內部CA)還是買(託管CA)
  • 確定如何將憑證自動寄送到装置

如果您需要幫助,請寄送電子郵件至enterprise@digicert.com聯絡我們的PKI結構設計師。