目前,您可以选择商业 PKI 或您自己的 PKI。商业 PKI 最初是为了实现互联网上的安全商务而创建的,主要用于保护 HTTP。证书的定价是按主机计算的。由于需要识别证书所有者的身份(可追溯性)以及从您的电子商务利润中抽取一定比例的分成,因此其成本比域名更昂贵。不幸的是,这种基于主机的愿景存在一些重大局限性。为 POP、IMAP 和其他协议使用证书仍然是可以接受的,但是当您需要为网络上的每个邮箱都配备证书时,成本就会急剧上升,同时每年向证书颁发机构注册所有这些证书的管理负担也会加重。如果您想在客户端/服务器应用程序(Web 服务器、IPsec 等)中使用证书来验证客户端身份,也存在同样的问题。
为什么不使用可以签署其他证书的证书呢?目前唯一的选择是构建您自己的证书颁发机构,如本文档所述。这允许灵活地管理证书,但仅限于您组织内部的人员,因为组织外部的人员必须加载您的根 CA 证书才能顺利操作。
解决方案是由中央机构以类似于 DNS 管理格式管理的独特 PKI。这被称为全局 PKI。