Obsah je převzat ze stránky SubRoot

Pod-kořeny organizace

Termíny

Úvod do pod-kořenových certifikátů organizace (Organisation Sub-Root Certificates)

Dotaz: Rád bych, aby certifikační autorita CAcert podepsala můj pod-kořenový certifikát, abych mohl podepisovat jiné certifikáty. Je to možné?

Odpověď: Krátká odpověď je NE.

Protože chceme dosáhnout vložení našich certifikátů do předních prohlížečů, musíme zvážit varování, které jsme obdrželi: že by to záležitost nejen zkomplikovalo, ale mohlo by nás to dokonce úplně vyřadit jako kandidáty.

Důvodem jsou obtížná rozhodnutí. Například:

V tomto okamžiku nejsou pod-kořenové certifikáty (Sub-Roots) v plánu, ale záležitost se zkoumá pro budoucí využití. Nyní nechceme riskovat, aby tím byla zmařena tvrdá práce lidí na dosažení cíle - vložení našich kořenových certifikátů do předních prohlížečů.

Odpověď: Delší odpověď je Možná. Tato stránka probírá možné budoucí způsoby, jak toho dosáhnout.

Zaručení organizace

Hledáte-li snazší cestu k práci s certifikáty ve své organizaci (právně uznávané entitě), měl(a) byste se podívat na systém zaručování organizací resp. Organizace /!\ zastaralé /!\

Automatické vydávání certifikátů

Zajímá-li Vás automatické vydávání certifikátů, máme pro Vás tyto možnosti:

Poznámka: toto potřebuje zařadit do Programu zaručování organizací (Organisation Assuring Program, OAP) a Přehledu postupů certifikace (Certification Practise Statement, CPS).

Práce se zprostředkujícími certifikáty

Takzvané řešení "Managed-PKI" (asi: řízená infrastruktura privátních klíčů, PKI) je systém, kde by CA vydala organizaci zprostředkující (intermediate) certifikát. To by organizaci umožnilo omezit aplikace, spoléhající na certifikáty, aby spoléhaly pouze na ty, které byly vydány (podepsány) tímto zprostředkujícím certifikátem. Jaký to má význam???

Podle tohoto návrhu by autorita CAcert vytvořila jednoúčelový zprostředkující certifikát a pracovala s ním za organizaci. Aby šlo vydávat certifikáty pro koncové entity, byl by zprostředkující certifikát používán normálním webovým rozhraním a/nebo rozhraním CertApi. CAcert by poskytl stabilní, automatické rozhraní pro vydávání certifikátů za zprostředkující CA.

Protože CA provozuje zprostředkující CA, prosazuje také zásady. Je otevřenou otázkou, zda mají být tytéž, jako má CAcert obecně, nebo zda mohou mít varianty.

V principu by to mohlo znamenat, že by podřízená CA nebyla auditována samostatně.

Omezené podřízené certifikační autority (CA)

Má-li organizace požadavek vysoké dostupnosti pro vydávání certifikátů, nebo existují jiné důvody, aby sama provozovala CA ve svém sídle, pak jsou dvě možné cesty:

Neomezené podřízené certifikační autority (CA)

Na neomezené podřízené CA bude CAcert pravděpodobně klást tytéž požadavky, kterým sama čelí, včetně vlastních zásad a zásad Mozilly.

Náklady na tento program by mohly dosáhnout jednotek statisíců EUR/USD a tedy by pro využívající společnost bylo ekonomicky výhodnější přímo vytvořit vlastní CA a nechat ji vložit do prohlížečů, namísto získávání neomezené podřízené CA od CAcert.

Jsou i jiné možnosti?

Máte-li specifické požadavky nebo potřeby, které nelze zpracovat existujícím programem, prosím kontaktujte nás.


Roots/OrganisationSubRoots/CZ (last edited 2016-01-19 11:22:42 by AlesKastner)