企业公钥基础设施（PKI）：公有CA vs.私有CA

对于那些拥有大型网络基础设施的企业来说，有时最好使用你们自己的公钥基础设施（PKI）。

许多企业都会处理大量数字方面的事宜，在该事宜中，需要对维护和更新给予特别关注。然而，相比个人站点拥有者或者甚至中小型企业（SMB）所面对的困难，这些挑战是完全不同的。比如，对于诸如Procter或Gamble等的一家公司来说，他们不仅需要管理他们自己的网站和无数的品牌网站，而且还需要管理内部网络，以便使员工能够正常地进行工作和交流，同时更不用说随着物联网的出现，他们现在还需要处理诸如手机和平板电脑等的连接设备，此外，还有所有员工的PC机。

企业接触数字领域的机会是非常多的，因此，需要进行大量的努力才能确保安全。

在像这样的案例中，你将需要依靠PKI来帮助保护一切。

什么是PKI？

从根本上来说，公钥基础设施是一个管理、分发、使用、存储和撤回可靠数字证书的框架。它能够将公有密钥和它们各自的身份绑定起来。大多数人从SSL证书中才知道了PKI，但是PKI已经保护网络页面、加密文件以及验证和加密电子邮件信息很长一段时间了。

我意识到这个定义可能有一点让人摸不着头脑，因此，让我们进一步来看一下吧。

假设存在一个根证书，或者至少一个能够链回到根的中间事物。我们知道，那个根将会签发所有被颁发的证书。这就允许能够对所有被颁发的证书进行验证。因为任何一个证书都是与一个身份绑定起来的，并且由一个可靠的根进行签发，所以验证一个公有密钥是否属于一个特定的实体就会变得十分简单。在这个例子中，我们将跳过验证这个环节，因为大多数企业在进行了一次企业验证后都能够颁发属于他们自己的证书。

我应当选择一个公有根还是一个私有根？

每一种方法都有自己的优点和缺点。考虑到大多数浏览器在它们的受信名单中已经有那个根了，并且这将使验证变得更简单，你如果想要保护一个公共可访问的域名，你最好采用公有根。此外，大多数公有证书颁发（CA）机构都拥有能够按需进行扩展的PKI。

作为成为一个私有证书颁发机构必不可少的第一个要素，私有根让你有能力颁发自签名的数字证书。它的缺点是，成本可能十分高昂，并且你必须添加你的私有根到你的公司的浏览器。同时，也要注意，如果这是一个面向公众的域名，它的根将不会存在于访问者的受信的名单中，而且你的网站也会从它们正在使用的所有浏览器那里收到一个警告信息。另一方面，你如果是出于内部原因使用私有根，如测试或为了物联网，管理你自己的PKI相比依靠一个第三方CA更加容易。

的确，大多数CA机构都拥有不同的能够允许一家公司自由地、按需进行颁发的企业工具。

托管CA和内部CA的差别是什么？

这一问题的答案与我们在先前的部分中所讨论的是相似的。基本上，它可以归结为，你想要构建一个内部PKI，还是一个托管的PKI服务。

这大部分取决于你自己的资源和全体人员。你如果能够负担得起雇佣某个人，或一个团队来监督PKI，那么它便是一个非常好的选择，因为它能够在发行和部署方面为你提供巨大的灵活性。但是记住，你也将必须为硬件、软件、许可和培训支付费用。对于大量的小型企业来说，这可能是十分昂贵的。

托管CA能够提供大量与内部CA相同的好处，二者最大的差别是你不用支付购买和维护软硬件的费用。此外，由于CA被纳入到了受信名单中，你的证书将会受到公众的信任。更不用说，相比颁发一个受公众信任的证书，从公有CA机构颁发一个私有证书的花费更少，后者只是前者的一部分。

在企业层面管理证书

可视性是企业现在面临的一个最大的挑战。你可能会在任何一个给定的时间，在你的电子足迹和所有连接设备之间部署成千上万个证书。这是公有CA具有明显优势的一个地方。尽管第三方工具能够在可视性方面有所帮助，但是公有CA多年前就已经开始构建它们的平台来满足企业需求了。对于管理属于你自己的PKI来说，可视性已经足够成为一个巨大的挑战了，没有这些工具，你的麻烦只会更多。

考虑其他情况，你可能想要利用CA现有的PKI，同时构建属于你自己的PKI。这就将允许你在使用你的内部CA的同时，依靠可靠的和真实的东西。

最后一点需要记住的是，你如果正在构建属于你自己的PKI，一定要给它留下成长空间。不要只根据今天的需求去设计它，试着想想它将会如何扩展，以便达到企业未来的目标，而是你今天所追求的这一些目标。同时也不要忘记自动化。你如果不能自动化证书部署，那么你将花费大量的时间来管理它。现在市场上有一些不错的自动化工具：RESTful API、简单证书注册协议（CEP）、Enrollment over Secure Transport （EST）和微软的AD自动注册。