Een private CA is een bedrijfsspecifieke certificate authority (CA) die functioneert als een openbaar vertrouwde CA, maar uitsluitend wordt beheerd door -- of voor -- het bedrijf. Met een private CA creëert een onderneming zijn eigen private root-certificaat dat private eindgebruikerscertificaten kan uitgeven voor interne servers en gebruikers. Certificaten die door een private CA zijn uitgegeven, worden niet publiekelijk vertrouwd en mogen niet worden gebruikt buiten de vertrouwde leden en infrastructuur van de onderneming.
Een certificaatautoriteit staat uiteindelijk in voor de identiteit van elke machine, gebruiker of codeproces in de infrastructuur. Zonder een dergelijke sterke identiteit zijn aanvallen mogelijk waarbij man-in-the-middle softwareprogramma's informatie stelen of valse opdrachten geven, wat kan leiden tot gegevensverlies, inbreuken op de beveiliging, diefstal van fondsen of andere problemen. In het geval van openbare vertrouwensmechanismen -- zoals certificaten die worden gebruikt om webverkeer, e-mail en gedistribueerde code te beveiligen -- volgen uitgegeven certificaten een cryptografische "keten" tot aan openbare CA's.
In het verleden gebruikten bedrijven vaak de Microsoft CA-tool voor Windows-machines of andere apparaten in de Microsoft-technologiestack. Microsoft CA was gratis en geïntegreerd met Active Directory, dus het was zeer geschikt voor veel van deze toepassingen. De afgelopen jaren hebben trends als ondersteuning van mobiele apparaten (inclusief BYOD), internet of things (IoT), cloud computing en DevOps echter het gebruik van niet-Microsoft-besturingssystemen op grote schaal voor bedrijfskritische toepassingen afgedwongen. Deze architecturen hebben de adoptie van andere private CA-aanbiedingen vereist, waaronder aftermarket private CA-toepassingen van IT-beveiligingsleveranciers.
Gemeenschappelijke toepassingen van private CA's zijn onder meer:
- Intranetsites
- VPN of draadloze authenticatie
- Device-identificatie
- Internet of Things (IoT)-projecten
- Beveiligde communicatie tussen interne services
- Interoperabele communicatie tussen derden, waaronder containerized of API-connected cloud-omgevingen.
Waarom zijn private CA's belangrijk?
De behoefte aan een door certificaten gecontroleerde identiteit binnen de onderneming is groot. Veel van de use-cases zijn ongeschikt voor gangbare, publiekelijk vertrouwde certificaten, dus moeten ondernemingen voor deze omstandigheden certificaten uitgeven vanuit hun eigen vertrouwensstructuur. Het niet implementeren van een sterke identiteitspraktijk voor interne systemen vormt een onaanvaardbaar risico voor gegevensdiefstal of andere catastrofale inbreuken.
Een commerciële private CA kan een onderneming helpen risico's te verminderen en compliance te bevorderen door de best practices van public key infrastructure (PKI), cryptografie en IT-beveiliging te volgen - inclusief het traceren en automatiseren van de vernieuwing van ingezette certificaten. Het kan de time-to-market verkorten en de bedrijfsflexibiliteit vergroten door netwerkbeheerders in staat te stellen certificaten en praktijken te beheren in plaats van hun eigen PKI vanaf nul op te zetten.
Wat moet de lezer nog meer weten over private CA's?
Veel van de architecturen die het toegenomen gebruik van certificaten stimuleren, staan nog in hun kinderschoenen.Containers, multi-cloud, IoT en andere hedendaagse computerarchitecturen zorgen ervoor dat het aantal benodigde certificaten met ordes van grootte toeneemt, waardoor de levensduur van het gemiddelde certificaat in veel gevallen dienovereenkomstig afneemt.
In deze architecturen is automatisering een vereiste voor certificaatimplementatie en -beheer.