Ahora que hemos definido y diferenciado entre una CA pública y una CA privada, el siguiente paso es hacer lo mismo con una CA raíz y una CA emisora. Como se menciona en nuestro blog que describe la jerarquía de autoridades de certificación y el diseño de CA, las autoridades de certificación raíz y las autoridades de certificación emisoras/subordinadas son vitales para el diseño de CA, particularmente en una jerarquía de dos niveles. Entonces, ¿qué son?
Una autoridad de certificación raíz, como su nombre lo indica, es la raíz de confianza para su PKI. Para confiar en una cadena de certificados, el certificado raíz debe agregarse al almacén raíz confiable del sistema operativo.
Dado que la CA raíz es la raíz de confianza para toda su cadena de certificados, es vital que sea el activo más protegido de su organización; después de todo, si un mal actor obtiene el control de su CA raíz, tiene las llaves del reino. Proteger la autoridad de certificación raíz cierra la puerta a posibles atacantes. Esta es la razón por la que las CA raíz generalmente se mantienen fuera de línea en una ubicación segura y no revelada y el equipo de PKI solo las activa cuando se emite una nueva CA emisora o una CRL se encuentra en proceso de firma.
En una jerarquía PKI de dos niveles, la CA subordinada es responsable de emitir certificados a los usuarios finales (de ahí su nombre). Para heredar la confianza de la autoridad de certificación raíz, la autoridad de certificación subordinada está firmada por la CA raíz. Una CA raíz puede tener varias CA emisoras, pero se recomienda separar las autoridades de certificación subordinadas por los tipos de certificados que emiten (por ejemplo, Smartcard y SSL). Otros escenarios comunes que requieren tener múltiples CA emisoras son la escalabilidad y la redundancia geográfica.
EZCA, nuestra herramienta de administración de certificados, fue diseñada específicamente por nuestro equipo de ex ingenieros de Microsoft para brindar soporte tanto a sus autoridades de certificación raíz existentes como a sus autoridades de certificación emisoras/subordinadas. Así es cómo:
Cuando diseñamos EZCA, entendimos que tendríamos clientes con CA raíz fuera de línea existentes ya administradas por su equipo de PKI, así como clientes sin una CA raíz que no quieren los costos y responsabilidades asociados con la administración de una, como la administración de CRL, HSM y asegurarse de que la CA raíz esté en una instalación segura. Es por eso que admitimos tanto la CA raíz propia como la CA raíz administrada.
EZCA le permite generar CA emisoras/subordinadas con redundancia geográfica en cuestión de minutos. Para satisfacer las necesidades de nuestros clientes, le permitimos encadenar su CA a una raíz fuera de línea administrada por su organización o a una CA raíz de EZCA. EZCA también lo ayuda a administrar sus certificados emitidos y rotarlos automáticamente, así como conectarse a la bóveda de claves de Azure. EZCA también garantiza que su organización siga las mejores prácticas de gestión de certificados, tal como fue diseñada para hazlo y quita de tus hombros la preocupación de seguirlos. La gestión manual de certificados es larga y difícil; utilizar EZCA es todo lo contrario.
Para obtener más información sobre EZCA, consulte nuestra página del producto de la herramienta de administración de certificados o programe una evaluación de PKI gratuita con uno de nuestros expertos hoy! Además, para obtener más información sobre los fundamentos de PKI, no dude en consulte nuestra lista de reproducción de la serie PKI Basics en YouTube.