對于那些擁有大型網(wǎng)絡(luò)基礎(chǔ)設(shè)施的企業(yè)來說，有時最好使用你們自己的公鑰基礎(chǔ)設(shè)施（PKI）。

許多企業(yè)都會處理大量數(shù)字方面的事宜，在該事宜中，需要對維護和更新給予特別關(guān)注。然而，相比個人站點擁有者或者甚至中小型企業(yè)（SMB）所面對的困難，這些挑戰(zhàn)是完全不同的。比如，對于諸如Procter或Gamble等的一家公司來說，他們不僅需要管理他們自己的網(wǎng)站和無數(shù)的品牌網(wǎng)站，而且還需要管理內(nèi)部網(wǎng)絡(luò)，以便使員工能夠正常地進行工作和交流，同時更不用說隨著物聯(lián)網(wǎng)的出現(xiàn)，他們現(xiàn)在還需要處理諸如手機和平板電腦等的連接設(shè)備，此外，還有所有員工的PC機。

企業(yè)接觸數(shù)字領(lǐng)域的機會是非常多的，因此，需要進行大量的努力才能確保安全。

在像這樣的案例中，你將需要依靠PKI來幫助保護一切。

什么是PKI？

從根本上來說，公鑰基礎(chǔ)設(shè)施是一個管理、分發(fā)、使用、存儲和撤回可靠數(shù)字證書的框架。它能夠?qū)⒐忻荑€和它們各自的身份綁定起來。大多數(shù)人從SSL證書中才知道了PKI，但是PKI已經(jīng)保護網(wǎng)絡(luò)頁面、加密文件以及驗證和加密電子郵件信息很長一段時間了。

我意識到這個定義可能有一點讓人摸不著頭腦，因此，讓我們進一步來看一下吧。

假設(shè)存在一個根證書，或者至少一個能夠鏈回到根的中間事物。我們知道，那個根將會簽發(fā)所有被頒發(fā)的證書。這就允許能夠?qū)λ斜活C發(fā)的證書進行驗證。因為任何一個證書都是與一個身份綁定起來的，并且由一個可靠的根進行簽發(fā)，所以驗證一個公有密鑰是否屬于一個特定的實體就會變得十分簡單。在這個例子中，我們將跳過驗證這個環(huán)節(jié)，因為大多數(shù)企業(yè)在進行了一次企業(yè)驗證后都能夠頒發(fā)屬于他們自己的證書。

我應當選擇一個公有根還是一個私有根？

每一種方法都有自己的優(yōu)點和缺點?？紤]到大多數(shù)瀏覽器在它們的受信名單中已經(jīng)有那個根了，并且這將使驗證變得更簡單，你如果想要保護一個公共可訪問的域名，你最好采用公有根。此外，大多數(shù)公有證書頒發(fā)（CA）機構(gòu)都擁有能夠按需進行擴展的PKI。

作為成為一個私有證書頒發(fā)機構(gòu)必不可少的第一個要素，私有根讓你有能力頒發(fā)自簽名的數(shù)字證書。它的缺點是，成本可能十分高昂，并且你必須添加你的私有根到你的公司的瀏覽器。同時，也要注意，如果這是一個面向公眾的域名，它的根將不會存在于訪問者的受信的名單中，而且你的網(wǎng)站也會從它們正在使用的所有瀏覽器那里收到一個警告信息。另一方面，你如果是出于內(nèi)部原因使用私有根，如測試或為了物聯(lián)網(wǎng)，管理你自己的PKI相比依靠一個第三方CA更加容易。

的確，大多數(shù)CA機構(gòu)都擁有不同的能夠允許一家公司自由地、按需進行頒發(fā)的企業(yè)工具。

托管CA和內(nèi)部CA的差別是什么？

這一問題的答案與我們在先前的部分中所討論的是相似的?；旧?，它可以歸結(jié)為，你想要構(gòu)建一個內(nèi)部PKI，還是一個托管的PKI服務。

這大部分取決于你自己的資源和全體人員。你如果能夠負擔得起雇傭某個人，或一個團隊來監(jiān)督PKI，那么它便是一個非常好的選擇，因為它能夠在發(fā)行和部署方面為你提供巨大的靈活性。但是記住，你也將必須為硬件、軟件、許可和培訓支付費用。對于大量的小型企業(yè)來說，這可能是十分昂貴的。

托管CA能夠提供大量與內(nèi)部CA相同的好處，二者最大的差別是你不用支付購買和維護軟硬件的費用。此外，由于CA被納入到了受信名單中，你的證書將會受到公眾的信任。更不用說，相比頒發(fā)一個受公眾信任的證書，從公有CA機構(gòu)頒發(fā)一個私有證書的花費更少，后者只是前者的一部分。

在企業(yè)層面管理證書

可視性是企業(yè)現(xiàn)在面臨的一個最大的挑戰(zhàn)。你可能會在任何一個給定的時間，在你的電子足跡和所有連接設(shè)備之間部署成千上萬個證書。這是公有CA具有明顯優(yōu)勢的一個地方。盡管第三方工具能夠在可視性方面有所幫助，但是公有CA多年前就已經(jīng)開始構(gòu)建它們的平臺來滿足企業(yè)需求了。對于管理屬于你自己的PKI來說，可視性已經(jīng)足夠成為一個巨大的挑戰(zhàn)了，沒有這些工具，你的麻煩只會更多。

考慮其他情況，你可能想要利用CA現(xiàn)有的PKI，同時構(gòu)建屬于你自己的PKI。這就將允許你在使用你的內(nèi)部CA的同時，依靠可靠的和真實的東西。

最后一點需要記住的是，你如果正在構(gòu)建屬于你自己的PKI，一定要給它留下成長空間。不要只根據(jù)今天的需求去設(shè)計它，試著想想它將會如何擴展，以便達到企業(yè)未來的目標，而是你今天所追求的這一些目標。同時也不要忘記自動化。你如果不能自動化證書部署，那么你將花費大量的時間來管理它?，F(xiàn)在市場上有一些不錯的自動化工具：RESTful API、簡單證書注冊協(xié)議（CEP）、Enrollment over Secure Transport （EST）和微軟的AD自動注冊。