专属中间CA(Intermediate CA,ICA),有时被称为从属CA或签发CA,用于专门为一家特定公司的最终实体签发证书。拥有自己的ICA或层次结构可以让您更好地控制生态系统中的信任链,只允许您信任的实体从证书模板中签发的证书。
这些CA层次结构可以是公信也可以是私信,并以客户为品牌,但它们由GlobalSign经过Web trust审计的安全数据中心托管和管理。依靠GlobalSign管理您的ICA和根,确保所有CA组件都得到了正确的保护和配置,符合最新的行业最佳实践-消除了内部团队管理PKI的成本和资源负担。注意:在一些罕见的情况下(例如SSL检查/解密),中间层由客户管理。
GlobalSign支持公信、特定ICA以及私信、特定层次结构。下面是我们可以支持的多种配置的简易示例。除少数情况外,所有根和ICA都由GlobalSign管理和维护。
以下是一些公司希望拥有自己的中间CA或私有层次结构的最常见原因。此列表并非详尽无遗,我们可以支持各种层次结构和信任选项。如有具体问题,请联系我们。
基于证书的客户端身份验证通常验证基于中间CA签发的证书。通过拥有独占的从属CA,您可以限制谁拥有授予系统访问权限的证书。这些用例通常使用私有信任层次结构。
为了使SSL检查设备能够解密和重新加密内容,它必须能够根据需要签发证书。这意味着它需要自己的从属CA,并且不能被公开信任。对于这个用例,GlobalSign托管根目录,ICA托管在客户的机房中。
您可以配置从属CA以满足您在扩展密钥使用(Extended Key Usage,EKU)、证书策略(Certificate Policy, CP)、CRL分发、短期证书等方面的特定需求。
对于向终端客户提供证书或将证书捆绑到其服务中的公司,在其名义下拥有一个专属的ICA可以提供一些额外的品牌机会。
在私信层次结构下签发的证书可以支持传统应用程序和独特的配置,如:更长的有效期和更小的密钥大小,根据CA/B基线要求这些在公信证书中是不允许的。注意:如果您只需要私有SSL/TLS,而不需要专属中间CA,我们可以提供IntranetSSL产品。
GlobalSign拥有产品和行业内专业知识,可确保您获得所需的任何解决方案。今天就联系我们吧!留下您的信息,GlobalSign产品专家会立即与您联系。
