PKI與遠端存取

Public key infrastructure(PKI)可幫助參與電子交易的每一方身份確認和驗證, 還有助於在電腦和託管在應用程式伺服器上對應的應用程式之間建立信任, 包括使用 PKI技術來保護網站和遠端存取, 數位憑證包含電子憑證的關鍵 PKI元件, 然後對用戶或電腦進行身份驗證, 當組織的員工從網際網路存取內部資源時, 須保護傳輸中的通信和資料不被未經授權的用戶攔截, 因此應該加密組織內部資源與使用網際網路的員工之間的通信, 另外應該對從網際網路連線的用戶及其電腦進行身份驗證

在組織中使用 PKI進行遠端存取時應考慮以下幾點:

。使用 PKI僅對資料和流量進行加密的情況下, 這僅將憑證安裝在遠端存取伺服器上, 用戶透過其帳號和密碼進行身份驗證

。除了加密之外還會使用 PKI來驗證用戶和他們的電腦, 這種情況下使用 PKI進行加密並向用戶和電腦發佈憑證

。憑證的三種類型:

--自我簽署憑證(self-signed certificates)由伺服器本身發佈, 預設僅受發佈的伺服器信任而不受組織中的其他電腦信任, 在中小型組織中使用自我簽署憑證透過安裝精靈設定的 DirectAccess, 其提供了簡單的設定w-studio.idv.tw

--私有CA(Private CA)發佈的憑證: 在想要管理自己的 PKI基礎架構並將 PKI用於多種目的(例如遠端存取、用戶端和伺服器身份驗證)的組織中, 可使用由私有CA發佈的憑證, 因為不需要購買大量憑證, 成本較低

--公用CA(Public CA)發佈的憑證: 在為需要被許多不同作業系統、電腦和設備信任的應用程式部署憑證的組織中使用由公用CA發佈的憑證, 在這些組織中不能使用私有CA, 因為預設只有網域電腦信任私有CA憑證, 未部署 PKI基礎架構或需要較少數量憑證的組織也使用公用CA

私有CA及公用CA發佈的憑證比較:

	優點	缺點
私有CA	。提供對憑證管理更好的控制 。與公用CA 相比成本更低 。自訂範本 。自動註冊	。預設不受外部用戶端(網頁瀏覽器、作業系統)信任 。需要更多的管理
公用 CA	。受到許多外部用戶端(網頁瀏覽器、作業系統)的信任 。需要最少的管理	。與私有CA 相比成本更高 。費用基於申請的憑證數量 。憑證採購較慢

一些組織已開始為其 PKI架構使用混合方法使用外部公用CA作為根CA, 並使用內部CA(私有CA)的層次結構來發佈憑證