Urząd certyfikacji (CA) to element rozwiązania infrastruktury klucza publicznego (PKI), którego zadaniem jest tworzenie certyfikatów cyfrowych. Certyfikat cyfrowy kryptograficznie łączy klucz publiczny z tożsamością jego właściciela. Łączenie odbywa się poprzez cyfrowe podpisanie klucza publicznego właściciela wraz z informacjami o jego tożsamości i utworzenie tak zwanego certyfikatu.
CA muszą być zaufane przez strony, które polegają na jego certyfikatach (stronach ufających) i jego kluczach do podpisywania. Muszą one być zabezpieczone tak, aby uniemożliwić atakującemu sfałszowanie certyfikatów tożsamości, które mogą być później użyte do uzyskania dostępu do systemów, które ufają CA.
Aby sprawdzić autentyczność certyfikatu, sprawdzający musi użyć certyfikatu CA (część klucza publicznego) do weryfikacji podpisu na sprawdzanym certyfikacie.
GDZIE ZACZYNA SIĘ ZAUFANIE W MODELU ZAUFANIA URZĘDU CERTYFIKACJI – ZWANYM HIERARCHIĄ ?
Modele zaufania urzędu certyfikacji wymagają, aby każdy CA podpisywał certyfikaty przy użyciu kluczy, które same są uwierzytelniane za pomocą certyfikatów (klucza publicznego). Certyfikaty CA są podpisywane przez inne CA. Każdy urząd certyfikacji jest uwierzytelniany przy użyciu swojego certyfikatu. Zaufanie kaskaduje aż do głównego urzędu certyfikacji (root CA), który używa certyfikatów z podpisem własnym, a zatem jest podstawą zaufania.
CO ROBI URZĄD CERTYFIKACJI?
CA wydaje certyfikaty cyfrowe łączące klucz publiczny i tożsamość jego właściciela oraz podpis cyfrowy, który uniemożliwia komukolwiek modyfikację certyfikatu. Pasujący klucz prywatny jest utrzymywany w tajemnicy przez właściciela.
CZY URZĄD CERTYFIKACJI MOŻE UNIEWAŻNIĆ CERTYFIKAT?
Certyfikaty są zazwyczaj odwoływane za pomocą listy odwołanych certyfikatów (CRL), która jest listą certyfikatów cyfrowych, które zostały odwołane przez wystawiający urząd certyfikacji (CA) przed zaplanowaną datą wygaśnięcia i nie należy im już ufać. Lista CRL może być częścią urzędu certyfikacji lub zarządzana jako osobna jednostka.
CO TO JEST GŁÓWNY URZĄD CERTYFIKACJI?
Główny CA to urząd, który wydaje certyfikaty główne używane do podpisywania certyfikatów innych urzędu certyfikacji. Certyfikaty główne to certyfikaty z podpisem własnym.
CO TO JEST CERTYFIKAT SERWERA?
Certyfikat serwera to certyfikat, który jest przedstawiany przez serwer łączącemu się klientowi i używany do potwierdzania jego tożsamości. Klucz publiczny certyfikatu, jest również używany do negocjowania klucza sesji do szyfrowania komunikacji między klientem a serwerem.
JAKIE SĄ RODZAJE URZĘDÓW CERTYFIKACJI?
Zasadniczo istnieją dwa typy urzędów certyfikacji — główny C i podrzędny urząd certyfikacji. Zadaniem głównego urzędu certyfikacji jest tworzenie certyfikatów używanych przez inne urzędy certyfikacji. W związku z tym stanowi podstawę zaufania dla całej infrastruktury PKI, dlatego jej bezpieczeństwo i integralność są niezwykle ważne. Podrzędny CA to urząd, który otrzymał swoje certyfikaty od innego urzędu certyfikacji i zazwyczaj ma za zadanie wydawanie certyfikatów użytkownikom i zasobom.
CO TO JEST CERTYFIKAT PKI?
Certyfikat cyfrowy kryptograficznie łączy klucz publiczny z tożsamością jego właściciela. Łączenie odbywa się poprzez cyfrowe podpisanie klucza publicznego wraz z informacjami o tożsamości i utworzenie tak zwanego certyfikatu.