公钥证书的在组织中的证书使用
2016-05-24
很多组织安装有自己的证书颁发机构,并将证书颁发给内部的设备、服务和雇员,以创建更安全的计算环境。大型组织可能有多个证书颁发机构,它们被设置在指向某个根证书颁发机构的分层结构中。这样,雇员的证书存储区中就可能有多个由各种内部证书颁发机构所颁发的证书,而所有这些证书颁发机构均通过到根证书颁发机构的证书路径共享一个信任连接。
当雇员利用虚拟专用网络 (VPN) 从家里登录到组织的网络时,VPN 服务器可以提供服务器证书以建立起自己的身份。因为公司的根颁发机构被信任,而公司根证书颁发机构颁发了 VPN 服务器的证书,所以,客户端计算机可以使用该连接,并且雇员知道其计算机实际上连接到组织的 VPN 服务器。
在数据可以经过 VPN 连接进行交换之前,VPN 服务器还必须能够验证 VPN 客户端的身份。或者通过交换计算机证书发生计算机级别的身份验证,或者通过使用点对点协议 (PPP) 身份验证方法,发生用户级别的身份验证。对于 L2TP(第二层隧道协议)/IPSec 连接,客户端和服务器双方均需要计算机证书。
客户端计算机证书可以服务于多个目的,这些目的大多数是基于身份验证的,这就允许客户端使用很多组织的资源,而不需要为每个资源分别准备证书。例如,客户端证书可能允许 VPN 连接,还允许访问公司存储 intranet 网站、产品服务器以及存储雇员数据的人力资源数据库。
VPN 服务器证书还可能服务于多个目的。相同的证书可能各种目的:确认电子邮件服务器、Web服务器或者应用程序服务器的身份。颁发证书的证书颁发机构决定每个证书的用途数目。
广告 您可能关注的内容 |