掌控您自己的信任链,而无需在内部环境中管理PKI
专用中间CA(ICA),有时也称为从属或发行CA,用于专门为一个特定公司发行最终实体证书。拥有自己的ICA或层次结构可让您在生态系统中更好地控制信任链,从而仅信任从您公司信任库中颁发的证书。
这些CA层次结构可以是公共信任或私人信任,并标记为客户您的;它们可以被托管,并且由拥有Web-Trust审计,安全数据中心的GlobalSign管理。依靠GlobalSign托管您的ICA和根根证书,可以确保所有CA组件都根据最新的行业最佳实践得到适当的保护和配置-消除了内部团队管理PKI的成本和资源负担。备注:在极少数情况下(例如SSL检查/解密),中间层由您自己管理。
运作原理
GlobalSign支持公共信任客户特定的ICA和私有信任客户特定的层次结构。以下是我们可以支持的许多配置的非常简单的示例。除少数情况外,所有根和ICA均由GlobalSign托管和维护。
使用专用CA或根的原因
以下是公司希望使用自己的中间CA或私有层次结构的一些最常见原因。此列表并不详尽,我们可以支持各种层次结构和信任选项。如有特定问题,请与我们联系。
客户端身份验证
基于证书的客户端身份验证通常基于中间CA来验证证书。通过拥有专属的从属CA,您可以限制谁拥有授予系统访问权限的证书。这些用例通常使用私有信任层次结构。
品牌
推广对于向最终客户提供证书或将其捆绑到其服务中的公司,以其名义拥有专用的从属CA可以提供一些其他的品牌推广机会。
SSL / TLS检查/解密
为了使SSL检查设备能够解密和重新加密内容,它必须能够根据需要颁发证书。这意味着它需要自己的从属CA,并且不能被公共信任。对于此用例,GlobalSign托管根,而ICA托管在客户的检查设备上。
特殊用例证书
在私有层次结构下颁发的证书可以支持遗留应用程序和独特的配置,例如更长的有效期和更小的密钥大小,这是CA / Browser论坛基准要求所不允许的公共信任证书。
注意:如果您只需要专用SSL / TLS,而不需要您自己的中间件,则我们通过IntranetSSL产品提供此功能。
自定义配置文件
您可以配置从属CA,以满足有关扩展密钥用法,证书策略,CRL分发,短期证书等的特定需求。
如有任何问题请联系专业销售团队021-60952260
