Home » PKI and Certificates: X.509, CA, CSR, SSL/TLS Certificate Lifecycle Management
PKI and Certificates: X.509, CA, CSR, SSL/TLS Certificate Lifecycle Management
PKI and Certificates: X.509, CA, CSR, SSL/TLS Certificate Lifecycle Management
PKI (Public Key Infrastructure) เป็นระบบที่จัดการ digital certificates สำหรับ secure communication X.509 เป็น standard format ของ certificates, CA (Certificate Authority) เป็นผู้ออก certificates ที่เชื่อถือได้, CSR (Certificate Signing Request) เป็นคำขอออก certificate และ SSL/TLS Certificate Lifecycle Management ครอบคลุมตั้งแต่ generation, deployment, renewal จนถึง revocation
ทุก HTTPS website, VPN, email encryption และ code signing ล้วนใช้ PKI certificates แต่หลายองค์กร ไม่มีระบบจัดการ certificate lifecycle ที่ดี: certificates หมดอายุโดยไม่รู้ตัว (ทำให้ website ล่ม), ใช้ self-signed certificates ใน production, ไม่ revoke certificates ที่ compromised Proper PKI management ป้องกันปัญหาเหล่านี้
PKI Components
| Component |
Role |
รายละเอียด |
| Certificate Authority (CA) |
Issuer |
ออกและ sign certificates (trusted third party) |
| Registration Authority (RA) |
Verification |
Verify identity ก่อนส่งให้ CA ออก certificate |
| Certificate |
Identity proof |
Digital document ที่ bind public key กับ identity (X.509 format) |
| Private Key |
Secret key |
ใช้ decrypt และ sign (ต้องเก็บรักษาอย่างปลอดภัย) |
| Public Key |
Shared key |
ใช้ encrypt และ verify signatures (อยู่ใน certificate) |
| CRL (Certificate Revocation List) |
Revocation |
รายชื่อ certificates ที่ถูก revoke (CA publish เป็นประจำ) |
| OCSP |
Real-time revocation check |
Query CA ว่า certificate ยัง valid หรือถูก revoke |
X.509 Certificate Fields
| Field |
รายละเอียด |
| Version |
X.509 v3 (current standard — supports extensions) |
| Serial Number |
Unique number assigned by CA (identifies certificate) |
| Signature Algorithm |
Algorithm ที่ CA ใช้ sign (e.g., SHA256withRSA, ECDSA) |
| Issuer |
CA ที่ออก certificate (DN: CN, O, C) |
| Validity (Not Before / Not After) |
ระยะเวลาที่ certificate ใช้ได้ (ปกติ 1-2 ปี, max 398 วันสำหรับ public) |
| Subject |
Entity ที่ certificate ออกให้ (DN: CN=www.example.com) |
| Subject Public Key |
Public key ของ subject (RSA 2048/4096, ECDSA P-256/P-384) |
| Extensions |
SAN (Subject Alternative Name), Key Usage, Basic Constraints, etc. |
Certificate Types
| Type |
Validation |
ราคา |
Use Case |
| DV (Domain Validation) |
Verify domain ownership only (automated) |
Free – $50/year |
Blog, small website, internal |
| OV (Organization Validation) |
Verify domain + organization identity |
$50-200/year |
Business website, e-commerce |
| EV (Extended Validation) |
Thorough verification (legal, physical, operational) |
$200-1,000/year |
Banking, financial, high-trust |
| Wildcard |
*.domain.com (all subdomains) |
$50-500/year |
Multiple subdomains |
| Multi-Domain (SAN) |
Multiple domains in 1 certificate |
$100-500/year |
Multiple domains/services |
| Self-Signed |
No CA validation (signed by yourself) |
Free |
Development, internal only (NOT production) |
CA Hierarchy
| Level |
Role |
Security |
| Root CA |
Trust anchor — top of chain (self-signed) |
Offline, air-gapped, HSM-protected (highest security) |
| Intermediate CA (Issuing CA) |
Issues end-entity certificates (signed by Root) |
Online, HSM-protected, restricted policies |
| End-Entity Certificate |
Server/client certificate (signed by Intermediate) |
On server, managed by ops team |
CSR (Certificate Signing Request)
| Step |
Action |
| 1. Generate Key Pair |
สร้าง private key + public key (RSA 2048+ หรือ ECDSA P-256+) |
| 2. Create CSR |
สร้าง CSR ที่ contain public key + subject info (CN, O, C, SAN) |
| 3. Submit to CA |
ส่ง CSR ให้ CA (ไม่ส่ง private key — private key อยู่กับเราเท่านั้น) |
| 4. CA Validates |
CA verify identity ตาม certificate type (DV/OV/EV) |
| 5. CA Issues Certificate |
CA sign certificate ด้วย CA’s private key → ส่งกลับ |
| 6. Install |
Install certificate + private key + intermediate CA chain บน server |
Certificate Authorities
| CA |
Type |
จุดเด่น |
| Let’s Encrypt |
Free, automated DV |
ACME protocol, 90-day certs, auto-renewal, most popular |
| DigiCert |
Commercial (DV/OV/EV) |
Enterprise standard, highest trust, fast issuance |
| Sectigo (Comodo) |
Commercial |
Budget-friendly, wide range of products |
| GlobalSign |
Commercial |
European CA, IoT certificates, managed PKI |
| Microsoft AD CS |
Private CA (internal) |
Active Directory integrated, internal certificates |
| HashiCorp Vault |
Private CA (automated) |
API-driven, short-lived certs, secret management |
Certificate Lifecycle
| Phase |
Action |
Best Practice |
| 1. Request |
Generate CSR + submit to CA |
Use strong key (RSA 2048+, ECDSA P-256+) |
| 2. Issuance |
CA validates + issues certificate |
Verify certificate chain is complete |
| 3. Deployment |
Install on server/device |
Include full chain (cert + intermediate + root) |
| 4. Monitoring |
Monitor expiry + health |
Alert 30/14/7 days before expiry |
| 5. Renewal |
Renew before expiry |
Automate with ACME/certbot (Let’s Encrypt) |
| 6. Revocation |
Revoke if compromised |
CRL + OCSP stapling for fast revocation checking |
| 7. Inventory |
Track all certificates |
Certificate inventory + owner + expiry date |
TLS Versions
| Version |
Status |
Recommendation |
| SSL 2.0 / 3.0 |
Deprecated (POODLE vulnerability) |
Disable immediately |
| TLS 1.0 |
Deprecated (BEAST, CRIME) |
Disable (PCI DSS requires disable) |
| TLS 1.1 |
Deprecated |
Disable |
| TLS 1.2 |
Current (widely supported) |
Allow (still secure with proper cipher suites) |
| TLS 1.3 |
Latest (2018) |
Preferred (faster handshake, stronger security, no legacy ciphers) |
ทิ้งท้าย: PKI = Trust Foundation of Digital Security
PKI and Certificates X.509: standard certificate format (subject, issuer, validity, public key, extensions) CA Hierarchy: Root CA (offline) → Intermediate CA → End-Entity certificates Types: DV (automated, free), OV (org verified), EV (thorough verification) CSR: generate key pair → create CSR → submit to CA → CA signs → install Lifecycle: request → issue → deploy → monitor → renew → revoke → inventory Automation: Let’s Encrypt + ACME + certbot (auto-renewal every 90 days) TLS: disable SSL/TLS 1.0-1.1 → use TLS 1.2 minimum → prefer TLS 1.3
อ่านเพิ่มเติมเกี่ยวกับ VPN Technologies IPsec SSL และ Firewall NGFW WAF ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
