要成为一家SSL证书颁发机构(CA),需要遵循一系列复杂的流程和满足多个条件,以下是关键步骤和要求:
- 满足特定平台的要求:您的根证书和中间证书必须包含在不同平台的信任存储中,才能获得公众信任。这包括微软、苹果、Chromium Project(谷歌浏览器)和Mozilla等。
- 遵守行业标准:必须遵守CA/Browser Forum Baseline Requirements等行业标准,这些基准概述了SSL/TLS管理、代码签名和网络安全的规则。
- 广泛审计:遵守WebTrust Principles and Criteria和CA/B Forum Baseline Requirements等计划需要进行彻底的审计。审计员根据财务、安全和业务原则对CA进行评估。
- 投资巨大:建立公共CA将耗费您用于安全存储设备和IT基础设施的资源。再加上安全专家、各种培训计划和持续合规审查等角色的人员配备,管理这样一个企业的成本就会大幅上升。
- 分发工作:将您的根证书分发到所有相关设备和平台可能需要数年时间,除非您选择与现有CA进行交叉签名,尽管这种做法越来越不常见。
- 建立IT基础设施:为私有CA的运行奠定坚实的基础,确保顺利、安全地签发证书。这一切都需要做好基础工作,并建立一个可扩展的、强大的IT基础设施,以支持您的专用CA服务器。
- 确定证书政策和程序:制定全面的证书政策和操作说明将确保证书的签发和管理。
- 生成根CA密钥和证书:您需要生成根CA密钥和证书。按照最佳做法,根CA证书会签署中间CA证书。创建根CA后,应将服务器脱机以提高安全性。
- 保护加密密钥:保护加密密钥对于防止未经授权的访问或泄露至关重要。硬件安全模块提供防篡改密钥存储,通常用于公共CA和内部CA设置。
- 在网络设备上部署根CA证书:向网络上的所有设备分发根CA证书是无缝证书验证所必需的。
- 获得合规资质:获得工信部颁发的《电子认证服务许可证》、国密局颁发的《电子认证服务使用密码许可证》等合规资质。
- 专业技术服务能力:SSL证书服务机构应配备专业的技术服务团队,为客户提供足够的技术支撑。
- OCSP本地化能力:提供在线证书状态协议(OCSP)的本地化服务能力。
- 证书到期管理能力:及时提供证书到期提醒、续费续签等服务。
- 综合经营实力:具备合规资质和专业服务能力、持续的产品供应能力以及长期产品交付能力。
成为一家SSL证书颁发机构是一个复杂且资源密集型的过程,涉及到技术、法律、财务和运营等多个方面。对于大多数企业来说,建立公共CA可能不切实际,但可以考虑建立私有CA或与现有的CA合作。
评论已关闭