本文旨在让你意识到,并不是所有的托管式PKI提供商都是相同的。事实上,DigiCert的产品与竞争对手相比有一些非常显著的差别,而这些差别通过比较数据是看不到的。DigiCert的主要优势在于,赛门铁克托管式PKI是一种从头建立起来的服务,而不是像其竞争对手那样,是建立在遗留的本地软件的基础上的。虽然从数据上来说不同服务可能很相似,但接下来,我们将重点介绍一下赛门铁克托管式PKI的一些基本优势。
当涉及到公共密钥基础设施(PKI)时,企业有两种部署选择:1)他们可以选择内部的本地解决方案,或者2)一个像赛门铁克托管式PKI那样基于云计算的服务。托管式PKI服务有许多好处,包括更快的部署时间、更低的总体拥有成本以及利用一流的操控性。
1. 共享 vs.专有的客户PKI根
DigiCert会为每位使用该项服务的客户举行一次独立的、由第三方审计的根密钥生成仪式(RKGC)。事实上,DigiCert每年都要进行上千次重要的签名仪式,比世界上任何其他托管PKI供应商都要多。一些提供商会“划分”它们的PKI,并将多个客户托管在同一个根目录下。Root CA是你的信任锚,你不应该与他人分享。
2. 及时性
托管服务的一个主要好处是,相比在本地设置一个,证书签发机构(CA)可以更快速地进行运作。DigiCert可以在订单购买流程完成之后的短短10天内,就让新客户使用上该托管服务。在特殊情况下,还可以让它更快地运行起来。其他一些服务提供商通常在8-12周时间内才能让服务运行起来,而且并不总是能够在截止期限前完成。
3. 获得公众信任
除了信任你自己的私有根之外,DigiCert的标准产品还提供了对公共根和Adobe认可信任清单(AATL)的访问,所有这些都可以从相同的基于web的管理门户访问和管理。能够访问这些额外的根可以满足大量需要外部信任的企业用例的要求。例如,可信的电子邮件数字签名、Adobe文档签名等。其他一些解决方案通常只提供了信任的私有根,或者要求你从单独的门户颁发各种公开可信的用户证书。
4. 广泛的撤销支持
DigiCert支持在线证书状态协议(OCSP)和传统的证书撤销列表(CRL),它们是其标准服务的一部分。其他一些解决方案只提供基于CRL的检查,并且会针对OCSP收取额外的费用。
5. 系统维护
虽然大多数的托管式PKI产品都为客户提供了一组基本的功能,但重要的是要审核它们,看它们对你的业务有何潜在的影响。部分诸如DigiCert等的提供商,能够让用户完全控制系统,并允许你使用证书颁发机构来满足当前和未来的用例。它们的初衷是,让你的企业能够根据企业中的任何情形调整服务。
一些其他的提供商则采用的是不同的方法,它们只向你提供在创建证书颁发机构时所确定的一组有限的功能。如果你的企业需要对功能或特性进行更改,那么你必须通过一个支持企业,并且可能支付额外的费用。这会使得总体成本增加,部署延迟,以及对基于证书的技术产生普遍的失望。
6. 系统管理
在管理托管式PKI解决方案时,你需要一个简化的、对用户友好的web界面,而这个界面是能够提供一个简单而强大的管理证书的工作流的。赛门铁克托管式PKI为客户提供了一组广泛的基本证书模板,以应对多种用例。DigiCert拥有多种用于用户、设备、移动设备管理(MDMs)和许多其他用例的证书模板。这些模板可以在默认状态下使用,也可以通过提供指令、建议和错误检查的web界面进行自定义。
所有这些的结果是,能够轻松、快速地管理和部署证书。这些特性降低了PKI部署的复杂性,并使得客户能够关注于满足其使用用例。其他托管式PKI供应商则没有这样易于使用的界面。通常,其他这些系统要求你拥有广泛的PKI知识,以了解如何使用这些系统并部署基本的证书类型来满足标准的使用用例。这些企业要求拥有昂贵的、拥有专业知识的PKI人员来操作系统,从而增加了总体拥有成本。
7. 易于部署
一旦企业决定了使用托管式PKI服务,他们就需要及时、高效地部署证书。赛门铁克托管式PKI能够为你提供多种类型的、内置于系统的用户注册方式。终端用户不需要定制编码或特殊系统,同时,用户注册和认证功也被构建进了DigiCert工作流。
此外,赛门铁克托管式PKI还提供有一个易于部署的自动注册服务器,可以无缝地注册Windows域名用户和计算机来获得证书。通常,客户可以在很短的时间内部署完成该服务器,并且在此过程中不会出现任何问题。许多其他的托管式PKI供应商都没有提供工具来简化部署。例如,DigiCert的一个主要竞争对手没有为所有证书类型提供内置的工作流,只支持有限的认证选项,并且你不能安装自动的注册服务器——它需要专业的服务参与,而这会增加成本并延迟部署时间。
8. 外观和感受
应用程序的视觉吸引力极大地提高了终端用户的易用性。在上文中,我们描述了赛门铁克托管式PKI界面是如何易于管理的。对于终端用户界面也是如此。赛门铁克提供了一组一致的、定义地很好的界面,可以很容易地将证书部署到具有不同技术能力的用户组。
通过为终端用户提供设置和使用说明,企业可以直接在门户网站上进行管理,从而帮助降低安装和支持时间。管理员可以提供PDF、DOC、DOCX、TXT、PPT、PPTX格式的指南,而这些指南用户在获取新证书时是可以进行下载的。如果用户需要进一步的帮助,管理员还可以在注册页面和发送到终端用户的电子邮件通知中自定义联系人信息(姓名、电子邮件和电话)。
9. 个性化
DigiCert提供了大量的证书注册方式。对于需要用户输入的注册方式,DigiCert使你能够轻松地在基于web的PKI Manager界面使用你的公司的logo来个性化终端用户的注册页面。
可以对每个证书类型进行个性化。这允许你根据你想要面向的用户社区(内部客户vs.外部用户,或者不同的子公司)展示不同的品牌。所有的注册页面都是按需创建的,由DigiCert托管,从而使得页面在内部和外部都能够很容易地进行访问。
而一些托管式PKI供应商为所有客户采用的是相同的静态注册页面,除非客户每年为品牌化和定制支付了额外的费用。
10. 本地化
通过提供对9种语言的开箱即用的支持,DigiCert使得全球用户都能够很容易地使用它的服务。这些语言包括:英语、法语、德语、日语、西班牙语、中文、葡萄牙语、日语和挪威语——它们存在于管理和终端用户界面上。显示基于的是用户浏览器中的区域编码集。你还可以自定义终端用户注册页面上的字段,以使它们对你的企业更有针对性,或者提供另一种翻译语言。一些MPKI提供商将其对语言的支持限制在了英语和法语上,并且为了使注册页面本地化,会对专业的服务收取过高的费用。
11. 多个工作流
为简单起见,企业通常会选择将证书自动注册到大型社区用户和不同的设备上,因为这是最容易和最透明的方式。虽然DigiCert也支持这种方法,但有时自动注册是不可能的;也许终端用户是外部的,并且没有域名,需要对用户进行额外的审查来达到特定级别的保证(LOA),或者设备是智能手机,而不是笔记本或台式机。客户可以从各种各样开箱即用的功能中进行选择,以应对不同的签发场景。
在注册过程中,DigiCert能够很容易地与AD LDAP进行集成,以进行身份验证。通过本地PKI网关连接到LDAP,注册用户超越一次性的参考编号/授权代码便成为了可能。当需要对用户进行额外的审查时,管理员可以选择为申请证书执行手动审批。管理员可以根据用户输入进注册表单中的信息来批准注册,并通知用户如何获取其证书。
DigiCert能够让管理员配置、部署和自定义用于证书注册的不同注册和认证方法。而其他服务提供商要么不支持它,要么需要专业的服务来完成这项工作。
12. 移动设备支持
首先,IT人员需要一种方式来安全地识别和验证网络上的设备;通过WiFi,VPN,或是来自应用程序内部的某种方式。这主要是通过向用户或设备颁发数字证书来实现的。赛门铁克托管式PKI是市场上唯一一个能够为移动设备提供开箱即用的证书注册平台,无论是原生的(iOS)还是与PKI客户端(Android)一起使用。内置的工作流能够为VPN、ActiveSync等应用程序提供证书注册服务,并帮助配置设置。企业可以选择利用一套内置的选项,或者上传自己的.mobileconfig文件。虽然许多企业已经对MDM解决方案进行了投资,但许多企业都没有,或者需要一个简单的解决方案来将证书部署到移动设备上。交付证书并在设备上自动配置设置可以确保更少的帮助调用和更好的终端用户体验。
此外,赛门铁克托管式PKI可以通过S/MIME证书来扩展电子邮件的安全功能,这是S/MIME证书发送到其上的设备的固有特性之一。如果用户在其公司的笔记本或台式机上注册有一个S/MIME证书,那么它将自动恢复,以便用户在所有他们的设备上都有相同的公开可信S/MIME证书。赛门铁克可以在企业目录中自动发布该证书,这样它就可以被企业所利用了。
以上示例展示了,赛门铁克托管式PKI是如何使企业通过使用简单而强大的工作流来安全地利用移动设备的。目前市场上没有其他托管式PKI提供了如此广泛的开箱即用的工作流和与移动设备相关的功能。然而,对于那些拥有MDM的企业,赛门铁克托管式PKI与赛门铁克、AirWatch、MobileIron等的领先的解决方案进行了集成。
赛门铁克的移动管理套件被称为应用中心,它为移动设备和其所包含的信息提供了额外的安全保障。App Center为企业提供了全面的MDM控制,并超越了那些传统的措施,以便用户可以从在本地或SaaS部署模型中的单一管理控制台提供移动应用管理(MAM)和移动信息管理(MIM)。
访问https://www.racent.com/solution/pki/,了解更多关于Digicert/Symantec的PKI解决方案。
