Een openbare-sleutelinfrastructuur (PKI) is een systeem van digitale certificaten, certificeringsinstanties (CA's) en registratieautoriteiten waarmee de geldigheid van elke entiteit die is betrokken bij een elektronische transactie, wordt gecontroleerd en geverifieerd door middel van cryptografie met openbare sleutels. De standaards voor PKI's zijn voortdurend in ontwikkeling, maar worden al op grote schaal geïmplementeerd als een essentieel onderdeel van elektronisch zakendoen. Zie Bronnen voor Active Directory Certificate Services voor meer informatie over het plannen van een PKI en het gebruik van cryptografie met openbare sleutels.

De PKI van Microsoft biedt ondersteuning voor een hiërarchisch CA-model dat schaalbaar is en dat consistent is met een groeiend aantal commerciële en andere CA-producten.

In zijn meest eenvoudige vorm bestaat een certificeringshiërarchie uit een afzonderlijke CA. Vaak omvat een hiërarchie echter meerdere CA's met duidelijk gedefinieerde hiërarchische verhoudingen. De onderliggende CA's worden daarbij gecertificeerd door certificaten die zijn verleend door de bovenliggende CA, waarmee de openbare sleutel van een CA wordt gekoppeld aan de desbetreffende identiteit. De CA boven aan de hiërarchie wordt de basis-CA genoemd. De CA's die zich op een lager niveau in de hiërarchie bevinden, worden onderliggende CA's genoemd. Zie Typen certificeringsinstanties voor meer informatie.

Als u in Windows een basis-CA vertrouwt (het certificaat hiervan is opgeslagen in uw archief met vertrouwde basiscertificeringsinstanties), houdt dit in dat u ook elke onderliggende CA met een geldig CA-certificaat in de hiërarchie vertrouwt. Een basis-CA is daarom een zeer belangrijk vertrouwenspunt in een organisatie en dient dan ook goed te worden beveiligd. Zie CA-certificaten voor meer informatie.

Er zijn verschillende praktische redenen voor het instellen van meerdere onderliggende CA's, zoals:

  • Gebruik. Certificaten kunnen om een aantal redenen worden verleend, bijvoorbeeld voor de beveiliging van e-mail en netwerkverificatie. Het beleid voor de verlening van certificaten kan verschillen voor de verschillende typen gebruik, en scheiding van CA's kan een basis vormen voor het beheer hiervan.

  • Onderverdeling binnen de organisatie. De beleidsregels voor het verlenen van certificaten kunnen afhankelijk zijn van de rol van een entiteit binnen de organisatie. Ook in dat geval kunt u onderliggende CA's gebruiken om deze beleidsregels te scheiden en te beheren.

  • Geografische onderverdeling. Organisaties kunnen entiteiten op meerdere fysieke locaties hebben. Voor de netwerkverbindingen tussen deze locaties kunnen individuele onderliggende CA's voor een groot aantal of alle locaties nodig zijn.

  • Taakverdeling. Als uw PKI wordt gebruikt om een groot aantal certificaten te verlenen en te beheren, wordt de netwerkbelasting voor de CA erg groot als u maar één CA hebt. Als u meerdere onderliggende CA's gebruikt om hetzelfde soort certificaten te verlenen, wordt de netwerkbelasting over de CA's verdeeld.

  • Back-up en fouttolerantie. Wanneer u over meerdere CA's beschikt, is er een grotere kans dat er in het netwerk CA's beschikbaar zijn om te reageren op aanvragen van gebruikers.

Bovendien kan een CA-hiërarchie voordelen bieden op het gebied van het beheer:

  • Flexibele configuratie van de CA-beveiligingsomgeving om een goed evenwicht tot stand te brengen tussen beveiliging en bruikbaarheid. U kunt bijvoorbeeld speciale cryptografiehardware gebruiken op een basis-CA, deze in een fysiek beveiligde ruimte opstellen of offline gebruiken. Voor onderliggende CA's zal dit vaak niet mogelijk zijn, gezien de kosten of de bruikbaarheid.

  • De mogelijkheid om een bepaald deel van de CA-hiërarchie 'uit te schakelen' zonder dat dit van invloed is op bestaande vertrouwensrelaties. U kunt bijvoorbeeld een CA-certificaat voor een bepaalde bedrijfseenheid eenvoudig uitschakelen en intrekken zonder dat dit van invloed is op andere delen van de organisatie.


Inhoudsopgave