Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. PKI

Bygg de grundläggande enheterna i förtroendekedjan i din organisation

Postat avDivyansh Dwivedi 07 minuter
Certifikatkedja för förtroende i Microsoft PKI
Innehållsförteckning

A Public Key Infrastructure (PKI) hjälper användare att utbyta data säkert och tillhandahåller datakonfidentialitet, dataintegritet och slutanvändarautentisering. PKI använder publikt-privata nyckelpar som mottagits från en betrodd certifikatutfärdareCertifikatutfärdaren utfärdar certifikat med offentliga nyckelr som kan användas för att kryptera data eller för digitala signaturer.

Ett certifikat med offentlig nyckel används för att associera en identitet med en offentlig nyckel. Den enhet som skapar denna association kallas utfärdaren av certifikatet och identiteten till vilken certifikatet har utfärdats kallas certifikatets subjekt. När en användare besöker en säker webbplats skickar webbplatsen en SSL/TLS-certifikat till användarens webbläsare. Användarens webbläsare validerar om utfärdaren av detta certifikat finns i listan över betrodda rotcertifikatutfärdare.

Om webbläsaren inte hittar en matchning kontrollerar den om någon av de betrodda rotcertifikatutfärdarna har signerat det utfärdande CA-certifikatet. Webbläsaren fortsätter att validera utfärdaren av certifikatet tills den hittar ett betrott rotcertifikat, eller tills den når slutet av förtroendekedjan. Denna förtroendekedja hjälper till att bevisa att certifikatet kommer från en betrodd källa och att webbplatsen som användaren besöker är en säker webbplats.
En certifikatkedja är en kedja av digitala certifikat, börjar med ett sluttäthetscertifikat, ett eller flera mellanliggande certifikat och ett rotcertifikat.

Grundläggande enheter i förtroendekedjan

Det finns tre grundläggande entiteter i certifikatkedjan: rot-CA-certifikat, mellanliggande CA-certifikat och slut-entitetscertifikat.

  1. Rot-CA-certifikat:

    Rot-CA-certifikatet är självsignerat X.509 certifikatDetta certifikat fungerar som ett förtroendeankare som används av alla förlitande parter som utgångspunkt för sökvägsvalidering. Rot-CA:ns privata nyckel används för att signera mellanliggande CA-certifikat. Om detta certifikat och dess privata nyckel komprometteras, bryts hela certifikatkedjan samman och alla certifikat som signerats av denna privata nyckel kommer att påverkas. Därför måste rot-CA:ns privata nyckel genereras och skyddas säkert hela tiden. För att skydda rot-CA-certifikat placeras mellanliggande CA:er mellan rot-CA:n och slutenheterna, och rot-CA:n utfärdar aldrig certifikat direkt till slutenheterna. Operativsystem, webbläsare och anpassade applikationer levereras förinstallerade med mer än 100 betrodda rot-CA-certifikat.

  2. Mellanliggande CA-certifikat:

    Det mellanliggande CA-certifikatet sitter mellan rot-CA-certifikatet och slut-entitetscertifikatet. Det kan finnas ett eller flera mellanliggande CA-certifikat i förtroendekedjan. Det mellanliggande CA-certifikatet signerar slut-entitetscertifikaten. Detta ger ett extra säkerhetslager till rot-CA:n eftersom den kan förvaras säkert offline för det mesta.

  3. Slutenhetscertifikat:

    Slutentitetscertifikatet är servercertifikatet som utfärdas till webbplatsdomänen. När detta servercertifikat installeras på webbservern ändras URL:en till HTTPS. Detta indikerar att webbplatsen är säker och använder en krypterad anslutning. För att ta emot ett digitalt certifikat skickar en slutentitet en Begäran om certifikatsignering (CSR) till den utfärdande CA (mellanliggande CA). CSR:n innehåller information om slutenheten. Den utfärdande CA verifierar att den information som lämnats är korrekt och utfärdar certifikatet till slutenheten.

Skräddarsydda krypteringstjänster

Vi utvärderar, strategiserar och implementerar krypteringsstrategier och lösningar.

Läs mer

Typer av förtroendemodeller

Hierarkisk förtroendemodell

I den hierarkiska PKI-förtroendemodellen finns det en offline-rot-CA och flera online-utfärdande CA:er. De flera utfärdande CA:erna är avsedda för hög tillgänglighet och lastbalansering. Detta är den vanligaste kedjevalideringsprocessen och den går i omvänd ordning. I det här fallet börjar valideringen med att kontrollera informationen om slutgiltigt certifikat mot det mellanliggande certifikat som utfärdade certifikatet och sedan kontrollera informationen om det mellanliggande certifikatet mot rotcertifikatet som utfärdar detta certifikat.

Web of Trust-modellen

Web of Trust-modellen är ett alternativ till den hierarkiska förtroendemodellen. Det är en decentraliserad förtroendemodell där användare hanterar förtroendet på individuell nyckelnivå. Det finns ingen certifikatutfärdare eller en betrodd rot. Decentraliserad kontroll över varje nyckelpar är den största skillnaden från den hierarkiska förtroendemodellen. PGP (Pretty Good Privacy) använder denna förtroendemodell.

Validering av certifikatsökväg

Sökvägsvalidering är processen att verifiera certifikatkedjans integritet, från slutenheten till rot-CA:n. Det finns vissa certifikatfält och tillägg som används vid sökvägsvalidering. Dessa fält används för att definiera certifikatets identitet och länkarna mellan certifikat.

  1. Utgivarens unika namnNamnet på utfärdaren som undertecknade certifikatet.
  2. ÄmnesnamnCertifikatinnehavarens identitet.
  3. Public KeyDen offentliga nyckeln för asymmetrisk nyckelpar.
  4. Auktoritetsnyckelidentifierare (AKI): Certifikattillägget som innehåller nyckel-ID:t som härleds från den publika nyckeln i utfärdarcertifikatet.
  5. Ämnesnyckelidentifierare (SKI): Certifikattillägget som innehåller nyckel-ID:t som härleds från den publika nyckeln i det aktuella certifikatet.

Ämnet för ett certifikat på högre nivå är utfärdaren av certifikatet på lägre nivå i kedjan. Klienten söker på olika platser för att hitta certifikatet som matchar utfärdarens DN i sitt eget certifikat. Det unika namnet (DN) används för att hitta certifikaten och AKI- och SKI-värdena används för att avgöra om det är ett korrekt certifikat. Om en certifikatutfärdare genererar ett nytt nyckelpar bör SKI-värdet i certifikatet ändras.

Certifikatutfärdarens DN ändras inte under omkodningsprocessen. AKI- och SKI-värdena säkerställer därför att rätt certifikat väljs för att bygga kedjan. När en klient hittar flera betrodda certifieringskedjor under certifikatkedjans byggprocess, väljs den bästa certifieringskedjan genom att beräkna varje kedjas poäng. Denna poäng baseras på kvantiteten och kvaliteten på den information som certifikatsökvägen tillhandahåller. Om poängen är densamma för flera kedjor väljs den kortaste kedjan.

Korscertifiering

Korscertifiering är processen att sammankoppla två PKI:er för att bygga certifikatkedjor. De två certifikatutfärdarna som är involverade i korscertifieringen signerar varandras certifikatutfärdares certifikat för att etablera relationen i båda riktningarna. Efter att de två certifikatutfärdarna har etablerat förtroendet kan enheter inom de separata PKI:erna interagera med varandra beroende på de policyer som anges i certifikaten.

Certifikatbutiker

  1. Microsofts certifikatbutik

    Microsofts operativsystem har inbyggda certifikatarkiv för förtroendeankare. Microsoft använder Windows Update-tjänsten för att publicera betrodda rotcertifikat till certifikatarkiverna. Microsofts rotcertifikatutfärdarprogram validerar och hanterar behörigheten för publicering av rotcertifikat.

  2. MAC OSX och Safari

    MAC OSX implementerar ett certifikatarkiv. MACOSX certifikatarkiv är en kombination av ett certifikatarkiv och en lösenordshanterare. Som standard har systemet två nyckelringar som kallas inloggnings- och systemnyckelringar. Användaren kan skapa fler nyckelringar.

  3. Firefox och andra Mozilla-baserade webbläsare

    Mozilla inkluderar en PKCS#11-modul som innehåller betrodda rotcertifikat. Användaren kan inte uppdatera detta certifikatarkiv. En användare kan ladda ytterligare betrodda rotcertifikatutfärdare i användardatabasen.

  4. OpenSSL

    OpenSSL lagrar betrodda rot-CA-certifikat i okrypterade pem-filer. Filsystemsäkerhet är mycket viktigt för att skydda dessa filer.

  5. JAVA

    För JAVA lagras de betrodda rot-CA-certifikaten i krypterad form på
    <JAVA path>/lib/security/cacerts.Användaren kan uppdatera detta certifikatarkiv.

Slutsats

Certifikatkedjans förtroende är en lista över certifikat från slutenheten till förtroendeankarna. Den gör det möjligt för mottagaren att verifiera att avsändaren och alla mellanliggande certifikat är tillförlitliga. Genom att använda certifikatfält och tilläggsvärden verifierar sökvägsvalidering certifikatkedjans integritet, från slutenheten till rot-CA.

Det finns olika certifikatarkiv som används för att lagra betrodda rotcertifikat. Encryption Consulting är ett kundfokuserat konsultföretag inom cybersäkerhet som tillhandahåller tjänster till olika kunder för implementering och hantering av PKI i deras miljöer. För att se hur vi kan hjälpa din organisation, besök vår webbplats på www.krypteringskonsulting.com.

Upptäck vår

Relaterade bloggar

Modernisering av PKI för att minska TNFL

Modernisering av PKI för att minska TNFL

Mars 16, 2026
PKI-kontroll

Upprätthålla PKI-kontroll i en molnbaserad värld

Mars 4, 2026
NDES OCH SCEP

NDES och SCEP förklarade: Ryggraden i automatiserad certifikatregistrering

Mars 2, 2026

Utforska

Fler ämnen