最近突然有客户问,现在开源的产品这么多为什么不选择用开源的CA?而要使用这么贵的商业CA?依照这几年的从业经验分几类总结如下:
1、功能性
| 功能点 | 开源CA | 商业CA |
|---|---|---|
| 信任根体系 | 一般较固定,不好修改 | 易修改,根据需要灵活签发部署 |
| 密码算法 | 国际算法:RSA、AES、SHA-2 | 国产算法:SM2、SM3、SM4和国际算法RSA、AES、SHA-2 |
| 证书申请 | 申请和下载一步完成,证书用途比较固定 | 根据企业的审批流进行,证书的用途根据实际需要可以定制修改 |
| 证书下载 | 申请和下载为一步完成,证书存储为文件形式,下载到U盾等外设中需要开发 | 下载和存储方式多样,可以存储在浏览器中也可以下载到U盾中 |
| 证书更新 | 相当于重新签发证书 | 可以只对证书内容更新,也可以完全更新 |
| 证书吊销 | 用户自行吊销证书 | 可以用户自行吊销,也可以管理员集中吊销 |
| API对外接口 | 开源程序决定 | 使用restfulAPI或者webservice方式,不限制开发语言 |
| UI交互 | 一般为命令行或者程序开发调试的方式 | 良好的交互界面,用户和管理员操作简单易上手 |
| 数据库 | 一般为mysql | 支持主流数据库,通过配置文件的修改能够快速指定 |
| KMC密钥管理中心 | 无 | 可选 |
| LDAP证书发布目录 | 假如使用采用开源的openldap | 选择部署商业的LDAP服务由服务商提供支持 |
| OCSP证书实时状态查询 | 无 | 标配 |
| 安装部署 | 难,需要自己摸索 | 易,一般由厂商部署和培训 |
| 高可用 | 无,需要自己处理 | 提供热备的高可用部署方案 |
| 高性能 | 无,需要自己处理 | 提供分布式、集群部署方案 |
2、安全性
| 功能点 | 开源CA | 商业CA |
| :-------------: |:-------------:|: -----:|
|法律和行标|不受监管,不符合国密的相关产品标准|国密颁发《商用密码产品销售许可证》,由密码定点生产单位发布,产品经过国密的CA产品检测|
|物理安全|自己管理|推荐的物理安全建设规范|
|网络安全|自己管理|推荐的安全网络拓扑部署|
|数据安全|自行备份|提供灾备方案|
|密钥管理|自己管理|存储在加密机或者加密卡中,根密钥离线安全保管|
|权限管控|无|根据职能和角色分配不同的管理员进行管理|
|日志审计|系统级的日志|应用级、数据库级、系统级等多维度的日志审计及可视化界面显示|
3、服务能力
| 对比点 | 开源CA | 商业CA |
|---|---|---|
| 实施部署 | 自行安装 | 负责安装、调试、培训 |
| 定制开发 | 自行开发 | 提供接口及文档,配合集成开发及相应的技术支持 |
| 系统集成 | 自行集成 | 主流软件已经集成,没有集成的提供集成方式及提供技术支持 |
| 售后维护 | 开源社区 | 发生问题提供7*24小时的售后支持 |
| 系统升级 | 开源社区 | 在维保期内提供密码库更新、系统bug修复升级等 |
4、价格
| 对比点 | 开源CA | 商业CA |
|---|---|---|
| 产品价格 | 免费 | 20~100万 |
| 服务价格 | 免费 | 大约在产品价格的10% |
5、总结
从使用者来看对于企业来说,使用证书及服务是一种商业行为,无论从安全性、服务保障、产品功能来说购买商业CA是必须的,而对于学生和个人开发者来说,下载一个开源CA,了解了解实现原理是非常有必要的。
