企业CA托管方案--TC/TCX

前提

在今天的互联网时代，企业内部的IT应用内容越来越多，企业需要一个低成本、简便的方式来对员工或用户的身份认证，以此确定他们能够访问公司的各种资源和应用。

前提

几种身份认证技术特点的比较

客户数字证书以其安全性高、部署方便的特点，越来越收到企业的青睐，而客户证书和USB令牌的结合，更可以免除用户使用中的技术限制，更方便管理。但企业如果要建立自己的CA，不仅需要大量的成本，还需要非常专业的技术人员进行管理和维护，有没有更好的办法呢？

GeoTrust的TC（True Credentials）和TCX（True Credentials Express）就是您寻觅已久的答案。他可以为您省缺了自己建设CA的种种麻烦，却可以享受比自己建设CA更好的服务。

TC的工作模式

GeoTrust会为企业办法一张企业专用的子CA(简称为ICA)证书，这种证书可用来颁发其他自己的客户端证书，所办法的客户端证书同样支持所有浏览器和电子邮件客户端软件以及其他网络应用，这张证书保存在Geotrust。

和企业自己建设 CA 的相比：企业无需自己投资建立自己的CA来颁发数字证书（就算建了也不能支持所有浏览器，因为企业自己的根证书不是浏览器预埋的，譬如国内的不少银行CA发行的客户证书安装时，经常会询问是否接受一个由AAA颁发的证书，其实这个客户证书是由银行内部CA发行的，并不被浏览器支持，所以才会跳出警告框），同时又可以拥有自己的CA品牌，来支持各种网络应用，尤其在外部网络，可以提升企业的对外形象。

GeoTrust TC为企业提供一个在线接口，支持基于PKI(公钥系统) 标准的各种网络应用，可以颁发支持 x.509 V3 标准的客户数字证书。同时，提供一个企业自己品牌的 HTML 用户管理界面，企业指定的系统管理员可以在线认证和在线颁发数字证书，还可以在线重发遗失的数字证书、在线吊销数字证书和在线续期数字证书。这就是一个完整的外包服务方式的企业CA，相当于企业没有投资任何 软硬件系统就拥有了一个全球通用的CA来颁发全球通用的客户数字证书 。

企业的CA系统管理员可以随时为企业员工、合作伙伴和用户颁发个人客户数字证书，系统管理员对数字证书申请人进行身份验证后，就可颁发数字证书，申请人会收到一个 HTML 格式的电子邮件 ，电子邮件要求申请人点击一个链接就可以下载数字证书，并安装到操作系统上。

企业的CA 系统管理员不仅可以颁发数字证书，还可以通过 Web 界面方便地管理所有已经颁发的数字证书，可以检查所有证书的到期时间，可以到期重发，或根据需要随时吊销和替换证书。

TCX的工作模式

TCX和TC一样能提供客户数字证书以及在线管理功能，但他是为那些员工在1000人以下的中小型企业服务的。我们相信企业客户证书的需求，不仅仅在哪些最大的企业，现代化的企业都非常需要能实现自己对企业证书的管理。

除了规模外，TCX和TC的最大区别在于，企业不需要有自己的企业子CA证书（ICA），TCX的证书是由GeoTrust True Credentials CA 2（由GeoTrust's Equifax Secure eBusiness CA-1根证书的联接证书）签发的。所以他没有自己的CA品牌，但对中小型企业来说，更好的性价比肯定更具有吸引力。

TC和TCX的比较