Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. PKI

Certifikatutfärdare – hierarki och användning

Postat avParnashree Saha 7 minuter
Certifikatutfärdare – hierarki och användning
Innehållsförteckning

Säkerhet och trygghet på internet är avgörande, och individer och organisationer har ofta ett legitimt behov av att kryptera och verifiera identiteten på de individer de kommunicerar med.

A certifikatmyndighet är en betrodd enhet som utfärdar digitala certifikatEn certifikatutfärdare utför tre huvuduppgifter:

  • Utfärdar certifikat
  • Bekräftar certifikatinnehavarens identitet
  • Bevisar certifikatets giltighet

Digitala certifikat

Ett certifikat, eller ett digitalt certifikat, är en uppsättning data för att verifiera en enhets identitet. Certifikat utfärdas av CA:er och följer ett specifikt format (X.509-certifikatstandarden).

Informationen i ett certifikat är:

  • Ämne

    Anger namnet på den dator, användare, nätverksenhet eller tjänst som certifikatutfärdaren utfärdar certifikatet till.

  • Serienummer

    Tillhandahåller en unik identifierare för varje certifikat som en CA utfärdar.

  • emittent

    Anger ett unikt namn för den certifikatutfärdare som utfärdade certifikatet.

  • Giltig från

    Anger datum och tidpunkt då certifikatet blir giltigt.

  • Giltig till

    Anger datum och tidpunkt då certifikatet inte längre anses giltigt.

  • Public Key

    Innehåller den offentliga nyckeln för det nyckelpar som är associerat med certifikatet.

  • Signaturalgoritm

    Algoritmen som används för att signera certifikatet.

  • Signaturvärde

    Bitsträng som innehåller den digitala signaturen.

Läs mer om digitala certifikat – Digitala certifikat och Windows-certifikatbutiker | Krypteringskonsulttjänster

Hur fungerar en certifikatutfärdare?

Processen för att få en certifikatutfärdare att utfärda ett signerat certifikat förklaras nedan:

  1. Begäraren eller klienten skapar ett nyckelpar (offentlig och privat nyckel) och skickar in en begäran som kallas en certifikatsigneringsbegäran (CSR) till en betrodd certifikatutfärdare. CSR:n innehåller klientens offentliga nyckel och all information om begäraren.
  2. CA validerar om informationen på CSR:n är sann. Om så är fallet utfärdar och signerar den ett certifikat med CA:ns privata nyckel och ger det sedan till begärande part.
  3. Begäraren kan använda det signerade certifikatet för lämpligt säkerhetsprotokoll:

Användning av en certifikatutfärdare

Certifikatutfärdare utfärdar olika typer av certifikat, varav ett är ett SSL certifikat. SSL-certifikat används på servrar och är det vanligaste certifikatet som en vanlig användare kommer i kontakt med. De tre nivåerna av ett SSL-certifikat är

  • Extended Validation (EV)
  • Organisation Validation (OV)
  • Domain Validation (DV)

Certifikat med högre nivåer av förtroende kostar vanligtvis mer eftersom de kräver mer arbete från certifikatutfärdarens sida.

  1. Extended Validation (EV)

    Dessa certifikat ger högsta möjliga garanti från certifikatutfärdaren att den har validerat den enhet som begär certifikatet. Under verifieringen av ett EV SSL-certifikat genomgår webbplatsens ägare en grundlig och globalt standardiserad identitetsverifieringsprocess (en uppsättning granskningsprinciper och policyer som ratificerats av CA/Browser-forumet) för att bevisa exklusiva rättigheter att använda en domän, bekräfta dess juridiska, operativa och fysiska existens och bevisa att enheten har auktoriserats att utfärda certifikatet. Denna verifierade identitetsinformation ingår i certifikatet.

    Till exempel: En person som begär ett elbilscertifikat måste valideras genom personlig interaktion med sökanden samt granskning av ett personligt brev, en primär form av identifiering, såsom pass eller körkort, samt två sekundära former av identifiering.

  2. Organisation Validation (OV)

    OV-certifikat kräver säkerhetsgaranti och mänsklig verifiering av organisationens identitet. OV SSL-certifikat försäkrar besökare om att de befinner sig på en webbplats som drivs av ett autentiskt företag. Innan ett OV-certifikat beviljas måste en medlem av säkerhetsteamet kontakta företaget för att bekräfta att ägarna faktiskt begärde SSL-certifikatet.

  3. Domain Validation (DV)

    Domänvalideringscertifikat är enklast att få tag på bland alla andra certifikat, eftersom ingen manuell identitetskontroll sker. DV SSL-certifikat kräver bara att sökanden visar äganderätt till domänen för vilken certifikatet begärs. DV-certifikat kan erhållas nästan omedelbart och till låg eller ingen kostnad. Till exempel: ACM Cert Managers DNS- eller e-postvalidering.

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Certifikatutfärdare utfärdar även andra typer av digitala certifikat:

  1. Kodsigneringscertifikat

    Kodsignering Certifikat används av programvaruutgivare och utvecklare för att signera sina programvarudistributioner. Slutanvändare använder dessa för att autentisera och validera programvarunedladdningar från leverantören eller utvecklaren.

  2. E-postcertifikat

    Gör det möjligt för enheter att signera, kryptera och autentisera e-post med hjälp av S/MIME-protokollet (Secure Multipurpose Internet Mail Extension) för säkra e-postbilagor.

  3. Enhetscertifikat

    Utfärdas till enheter inom sakernas internet (IoT) för att möjliggöra säker administration och autentisering av program- eller firmwareuppdateringar.

  4. Objektcertifikat

    Används för att signera och autentisera alla typer av programvaruobjekt.

  5. Användar- eller klientcertifikat

    Används av individer för olika autentiseringsändamål.

Klient-server-autentisering via certifikatutfärdare (CA)

CA upprättar ett digitalt certifikat, även känt som ett SSL/TLS-certifikat, som binder en offentlig nyckel till information relaterad till den enhet som äger den offentliga nyckeln. Detta gör det möjligt för alla system att verifiera enhets-nyckel-bindningen för alla presenterade certifikat.

  1. Det första steget är att ta reda på om CA:n är en betrodd CA. CA-namnet hämtas från certifikatet och jämförs med en lista över betrodda CA:er som tillhandahålls av webbläsaren. Om CA-namnet visar sig vara en betrodd CA, får klienten CA:ns motsvarande publika nyckel att använda i nästa valideringssteg.
  2. I det här steget valideras den digitala signaturen på serverns certifikat. Det är i grunden hashen för CA:ns publika nyckel.
  3. För att validera den digitala signaturen hashar klienten CA:s publika nyckel med samma hashalgoritm som används av CA:n för att hämta den digitala signaturen.
  4. Om de två hashvärdena matchar är den digitala signaturen giltig och certifikatet autentiserat. Om hashvärdena inte matchar är certifikatet ogiltigt och kan inte autentiseras.
  5. Certifikatets utgångsdatum måste också kontrolleras för att validera certifikatet.
  6. När ett certifikat har autentiserats kommer även certifikatägarens identitet att autentiseras.

Alternativ för CA-hierarki

CA:er är hierarkiska i strukturen, och det finns generellt tre typer av hierarkier: ennivås, tvånivås och trenivås.

Enkel/En-nivå hierarki

I den här typen av hierarki är den enskilda certifikatutfärdaren både en utfärdande certifikatutfärdare och en rot-certifikatutfärdare. Rot-certifikatutfärdaren installeras som en företags-certifikatutfärdare, vilket lämnar rot-certifikatutfärdaren i nätverket som medlem i en specifik domän. Kort sagt är rot-certifikatutfärdaren alltid tillgänglig för att utfärda certifikat till begärande användare, datorer, nätverksenheter etc.

Denna hierarki med en enda nivå rekommenderas inte för något produktionsscenario eftersom en kompromiss med denna hierarki motsvarar en kompromiss med hela PKI:n.

Tvånivåhierarki

En tvånivåhierarki uppfyller de flesta företags behov. Denna design består av en offline rot-CA och en underordnad utfärdande CA online. I den här modellen ökar säkerhetsnivån eftersom rot-CA:n är frikopplad från nätverket, så rot-CA:ns privata nyckel är bättre skyddad från kompromisser. Tvånivåhierarkin ökar också skalbarheten och flexibiliteten, eftersom det kan finnas flera utfärdande CA:er underordnade rot-CA:n. Detta gör att CA:er kan existera på olika geografiska platser, såväl som på olika säkerhetsnivåer.

Trenivåhierarki

I en trenivås CA-hierarki installeras en offline-rot-CA som en fristående rot-CA, och en eller flera offline mellanliggande/policy-CA:er och en eller flera utfärdande CA:er installeras som underordnade företags-CA:er. Policy-CA:n är konfigurerad för att utfärda certifikat till den utfärdande CA:n, som är begränsad i vilken typ av certifikat den utfärdar. En av anledningarna till att det andra lagret läggs till i denna hierarki är att om du behöver återkalla ett antal CA:er på grund av en nyckelkomprometterad, kan du utföra det på den andra nivån, vilket lämnar andra "grenar från roten" tillgängliga. Det bör noteras att andranivås-CA:er i denna hierarki, liksom roten, kan hållas offline.

Slutsats

En certifikatutfärdare spelar en nyckelroll i att underlätta säker kommunikation och bygga förtroende mellan en användare och en resurs genom att verifiera att organisationen och klienten i fråga är autentiska eller giltiga.

För en komplett lista över rekommendationer för planering av en CA-hierarki, tillsammans med vilken nivå av affärspåverkan du bör överväga att implementera dem, se Säkra PKI: Bilaga F: Lista med rekommendationer efter påverkansnivå.

Upptäck vår

Relaterade bloggar

Modernisering av PKI för att minska TNFL

Modernisering av PKI för att minska TNFL

Mars 16, 2026
PKI-kontroll

Upprätthålla PKI-kontroll i en molnbaserad värld

Mars 4, 2026
NDES OCH SCEP

NDES och SCEP förklarade: Ryggraden i automatiserad certifikatregistrering

Mars 2, 2026

Utforska

Fler ämnen