Genel anahtar altyapısı (PKI); genel anahtar şifreleri kullanarak, elektronik işlemlerde yer alan her varlığın kimlik doğrulamasını yapan ve geçerliliğini doğrulayan dijital sertifika, sertifika yetkilisi (CA) ve kayıt yetkililerinden oluşan bir sistemdir. PKI standartları, elektronik ticaretin gerekli bir öğesi olarak yaygın şekilde kullanılmakla birlikte, gelişmeye devam etmektedir. PKI planlama ve genel anahtar şifrelemesi kullanma konusunda daha fazla bilgi için bkz. Active Directory Sertifika Hizmetleri Kaynakları.
Microsoft PKI, ölçeklenebilen ve artan sayıda ticari ve diğer CA ürünleriyle uyumluluk sergileyen hiyerarşik bir CA modelini desteklemektedir.
En basit biçimiyle bir sertifika hiyerarşisi tek bir CA'dan oluşur. Bununla birlikte, hiyerarşilerde genellikle açıkça tanımlanmış üst/alt ilişkilerine sahip birden fazla CA bulunur. Bu modele göre, alt CA'lar kendi üstündeki CA tarafından verilen sertifikalarla onaylanır ve böylece bir CA'nın genel anahtarı kendi kimliğine bağlanır. Bir hiyerarşide en üstte bulunan CA'ya kök CA denir. Bir kök CA'nın altındaki CA'ya da alt CA denir. Daha fazla bilgi için bkz. Sertifika Yetkilisi Türleri.
Windows'da, bir kök CA'yı güvenli kabul ediyorsanız (sertifikasını Güvenilen Kök Sertifika Yetkilileri sertifika deponuzda tutuyorsanız), hiyerarşide geçerli CA sertifikasına sahip olan her alt CA'yı da güvenli kabul etmiş olursunuz. Böylece, kök CA bir kuruluşta çok önemli bir güven unsuru durumundadır ve buna göre güvenliğinin sağlanması gerekir. Daha fazla bilgi için bkz. CA Sertifikaları.
Birden fazla alt CA ayarlamak için, aşağıdakiler gibi bazı pratik nedenler vardır:
-
Kullanım. Sertifikalar, e-posta güvenliğini sağlama ve ağ kimlik doğrulaması gibi birtakım nedenlerle verilebilir. Bu kullanımlar açısından verme ilkesi farklı olabilir ve bu ilkelerin yönetiminde temel olan farklılıklardır.
-
Kuruluş bölümleri. Bir varlığın kuruluştaki rolüne bağlı olarak, farklı sertifika verme ilkeleri söz konusu olabilir. Bu ilkeleri ayırmak ve yönetmek için de alt CA'lar oluşturabilirsiniz.
-
Coğrafi bölümler. Kuruluşların fiziksel olarak birçok yerde varlıkları olabilir. Bu yerler arasındaki ağ bağlantıları, yerlerin çoğu veya tümü için ayrı alt CA'lar gerektirebilir.
-
Yük dengeleme. PKI'niz çok sayıda sertifika vermek ve yönetmek için kullanılacaksa, yalnızca bir CA bulunması bu tek CA için dikkate değer bir ağ yüküne neden olabilir. Aynı türden sertifikalar vermek için birden fazla alt CA kullanılması ağ yükünü CA'lar arasında dağıtır.
-
Yedekleme ve hataya dayanıklılık. Birden fazla CA bulunması, ağınızda kullanıcı isteklerini yanıtlamak için her zaman kullanılabilir durumda CA olması olasılığını artırır.
CA hiyerarşisi ayrıca yönetim açısından aşağıdakiler gibi yararlar da sağlayabilir:
-
Güvenlik ve kullanılabilirlik arasındaki dengeyi kurmak amacıyla CA güvenliği ortamını esnek şekilde yapılandırma. Örneğin, bir kök sertifikada özel amaçlı bir şifreleme donanımı kullanmayı, bunu fiziksel olarak güvenli bir yerde çalıştırmayı veya çevrimdışı olarak çalıştırmayı tercih edebilirsiniz. Bu durum, maliyet ve kullanılabilirlik açısından alt CA'lar için uygun olmayabilir.
-
Kurulan güven ilişkilerini etkilemeksizin CA hiyerarşisinin belirli bir kısmını "kapatma" yeteneği. Örneğin, belirli bir işletme birimiyle ilişkili verme CA sertifikasını, kuruluşun diğer bölümlerini etkilemeksizin kolayca kapatabilir ve iptal edebilirsiniz.