web-dev-qa-db-ja.com

CA間の比較と違い

Googleで検索をしていると、「Active Directory Certificate Services」というWindowsロール、OpenSSLライブラリ、EJBCAソフトウェアなど、さまざまな認証局があることがわかりました。

すべてが証明書を発行し、私が間違っていない場合は証明機関として機能することを知って、両者の違いを知りたいのですが。

動作は異なりますか?たとえば、すべてX.509に準拠していますか?

3

まず、言語に注意しましょう。Entrust、Verisign、DigicertなどのパブリックCAについて話すとき、実際に証明書を作成および管理するために必要なソフトウェアがいくつかありますが、実際にはpeople。これらの企業は信頼されているCAを使用しているためではなく、ネットワーク管理者がセキュリティを真剣に考えているためです。検証スペシャリストは、新しい証明書を発行する前にレコードをチェックすることに細心の注意を払っています。組織(少なくともEV証明書の場合)。したがって、CAであることの意味の少なくとも80%は人間に関するものです。


さて、それが邪魔にならないところで、ソフトウェアについて話しましょう。

あなたは 公開鍵インフラストラクチャ を管理するためのソフトウェアツールについて話している。 CAになるには、ソフトウェアに必要なものは3つだけです。

  1. 公開鍵/秘密鍵のペア。

  2. その鍵ペアの自己署名証明書。

  3. 証明書署名リクエスト(.csrs) をそのキーペアで署名できるソフトウェアツール。

残りの80%は、データの管理方法、および実際に.csrに署名する前に行うバックグラウンドチェックの量に関するポリシーです。異なるPKIソフトウェアの違いは、取得するベルとホイッスルの数です。

OpenSSLは、暗号化操作を行うためのコマンドラインツールです。一般的に言えば、それは必要最小限のコマンドラインツールです。ファイルを挿入すると、ファイルが返されます。これらのファイルをどうするかはあなた次第です。

openssl ca -cert ca.crt -keyfile ca.key -in infile.csr -out outfile.crt

X.509標準に加え、CRLの発行、OCSPへの応答などのいくつかの基本的なサービスを完全にサポートしますが、構成と管理はかなり手軽になります。

[〜#〜] ejbca [〜#〜]Active Directory証明書サービス、またはEntrust Authority Security Manager(恥知らずなプラグイン!)は、ライブWebサーバーとして実行され、要求に応答する本格的なPKI管理システムです、独自のデータベースを管理し、ネットワーク化された Hardware Security Module デバイスにCAの秘密鍵を保存します。特に、ニースのWebベースの管理インターフェイスが付属しており(下のスクリーンショットを参照)、 CMPプロトコル を介して自動証明書管理操作を実行でき、自動的に公開します 証明書失効リスト(CRL) 彼らがこれまでに発行したすべての証明書について数時間ごとに、 オンライン失効チェック(OCSP) に応答します-つまり、「ねえCA、証明書#23488817はまだ良いですか?」 -政府はEJBCAとEntrust Security Managerを使用して electronic passports を発行できます。MicrosoftのActive Directory証明書サービスとEntrust Security Manager(EJBCAについてはわかりません)には、クライアントソフトウェアがあります。クライアントのデスクトップまたはラップトップ上で実行され、CAと通信し、有効期限が近づくと証明書を自動的に更新します。 EJBCAの完全な機能リストを見る


TL; DR:OpenSSLには技術的にCAを実行および管理するために必要なすべてが含まれていますが、それはかなり基本的なものであり、かなりの量を実行する必要がありますコマンドラインで手動で。 OpenSSLで約5証明書を超えるPKIを管理することは想像できません。より洗練されたPKI製品は、可能な限り自動化し、洗練されたWebベースの管理UIを提供することで、利便性を提供します。これらは、何百万ものユーザーを管理しているシステム向けに設計されています。インターネット全体のSSL証明書を発行するパブリックルートCA、大規模な政府部門の電子メールS/MIME証明書を管理する、または国のパスポート。 100万人を超えるユーザーを抱える世界のCAの70%〜80%が、ここで言及した3つのPKIソフトウェア(Microsoft ADCS、EJBCA、またはEntrust SM)の1つを実行していると思います。


(ソース: ejbca.org


(ソース: ejbca.org

8
Mike Ounsworth