Що таке PKI

Інфраструктура відкритих ключів (PKI) — це система процесів, технологій і політик, яка дозволяє шифрувати та підписувати дані. Ви можете видавати цифрові сертифікати, які засвідчують автентичність користувачів, пристроїв або служб. Ці сертифікати створюють безпечне з’єднання як для загальнодоступних веб-сторінок, так і для приватних систем, таких як ваша віртуальна приватна мережа (VPN), внутрішній Wi-Fi, вікі-сторінки та інші служби, які підтримують MFA. Є питання?

Що таке Private PKI

Приватний PKI дозволяє оформити власни приватні сертифікати SSL з унікальним проміжним корнем часто підтримується CA, якому довіряє громадськість. Це дозволяє адаптувати сертифікати відповідно до унікальних потреб і розгорнути сертифікати на вимогу для внутрішніх цілій.

Архитектура PKI

Инфраструктура открытых ключей, или PKI - это основная структура, которая делает безопасное интернет-общение реальностью за счет использования шифрования с открытым ключом. Архитектура PKI существует в нескольких формах в зависимости от того, что вы делаете с PKI:

• Открыто доверенная PKI.
  Если вы хотите, чтобы ваши цифровые сертификаты всегда распознавались и пользовались всеобщим доверием со стороны клиентов и операционных систем в общедоступных каналах и в Интернете, вам необходимо использовать цифровые сертификаты, выпущенные общественно-доверенным центром сертификации. В этом сценарии архитектура PKI полностью управляется центром сертификации - Вы просто запускаете их сертификаты для защиты общедоступных ресурсов
  Public PKI (Public CA) - этот термин относится к PKI, которая выдает сертификаты, которым автоматически доверяет большинство браузеров и устройств. Например, если вы приобретаете сертификат SSL в магазине SSL, этот сертификат выдается общедоступным центром сертификации. Это наиболее часто используемый тип PKI.
• PKI, пользующаяся частным доверием.
  Если вы используете PKI для защиты внутренних активов или сетей, то лучшим вариантом может быть запуск частного центра сертификации. В этом сценарии вам нужно будет принимать собственные решения об архитектуре PKI
  Private PKI (Private CA) - это PKI, которая используется только для защиты вашей внутренней сети. Сертификаты не будут автоматически доверенными на всех устройствах - вам необходимо сначала установить соответствующий корневой сертификат на каждом устройстве. Плюс в том, что у вас гораздо больше контроля над выпускаемыми сертификатами. Частную PKI можно настроить с помощью таких инструментов, как Microsoft CA или управляемых служб PKI (также известных как mPKI или PKI как услуга).

Что такое PKI? Что такое архитектура PKI? Определение архитектуры PKI

Архитектура PKI описывает все организационные и структурные компоненты, которые позволяют создавать, использовать и управлять инфраструктурой открытых ключей вашей организации. Это включает в себя все, от серверов и HSM, на которых размещается ЦС, до компонентов ЦС, таких как корневые сертификаты и списки отзыва сертификатов. В физическом мире две стороны должны были физически встретиться, чтобы обменяться ключами для обмена зашифрованными сообщениями. Но в глобальном цифровом мире, который позволяет данным перемещаться со скоростью света, такой устаревший подход к обмену ключами больше не нужен. Здесь в игру вступает инфраструктура открытых ключей. Краткое определение инфраструктуры открытого ключа включает в себя все, что делает возможной безопасную связь в Интернете. Это базовые технологии включая цифровые сертификаты и криптографические ключи, политики, процессы, которые:

• Позволяют клиентам совершать покупки на вашем веб-сайте, не опасаясь, что их информация будет украдена в пути,
• Позволяют вашим сотрудникам безопасно общаться и отправлять конфиденциальную информацию по электронной почте, а также
• Помогают вам защитить свои онлайн-сервисы, внутренние сайты и другие цифровые ресурсы от несанкционированного доступа.

Основные элементы инфраструктуры открытых ключей

Цифровые сертификаты.

Это небольшие цифровые файлы, которые обеспечивают идентификацию и шифрование для различных случаев использования в Интернете. Каждый сертификат содержит большое количество идентифицирующей информации об организации или субъекте, которому он выдан в зависимости от уровня проверки, на котором он выдан, но имеет ограниченный срок службы. Общие категории цифровых сертификатов включают:

• Сертификаты SSL / TLS. Эти сертификаты позволяют отображать значки безопасных замков в браузерах посетителей вашего веб-сайта, а предупреждения «небезопасно» исчезают. Сертификаты SSL / TLS поставляются с тремя вариантами уровня проверки - проверка домена (DV), проверка организации (OV) и расширенная проверка (EV).
• Сертификаты для подписи кода - эти цифровые сертификаты помогают защитить вашу цепочку поставок обновлений программного обеспечения и дают пользователям уверенность в том, что ваше программное обеспечение является законным и не подвергалось подделке. Сертификаты для подписи кода имеют один из двух уровней проверки - стандартную или расширенную - и при последнем исчезают предупреждения SmartScreen Защитника Windows, поскольку они делают ваше программное обеспечение автоматически доверенным для операционных систем и браузеров Windows!
• Сертификаты для подписи документов - эти цифровые сертификаты используют криптографические функции хеширование, а цифровые подписи позволяют доказать пользователям, что ваш документ является законным и не изменялся с момента его подписания.
• Сертификаты подписи электронной почты - эти цифровые сертификаты, также известные как сертификаты S / MIME , обеспечивают сквозное шифрование путем шифрования содержимого электронной почты и вложений до того, как они покинут ваш почтовый ящик. Сертификаты подписи электронной почты также обеспечивают цифровую идентификацию, позволяя вам подписывать сообщения цифровой подписью, чтобы получатели могли убедиться, что информация не была изменена и что это действительно вы ее отправили.
• Сертификаты проверки подлинности клиентов - эти цифровые сертификаты позволяют выполнять проверку подлинности без пароля во внутренней сети. Это означает, что авторизованные пользователи могут безопасно входить в систему и проверять свою личность без необходимости запоминать или вводить громоздкий пароль и выполнять многофакторную аутентификацию.

Пары публичных и частных криптографических ключей.

Это криптографические инструменты, необходимые для шифрования (открытый ключ) и дешифрования (закрытый ключ) информации через Интернет. Открытый ключ - этот ключ шифрует данные для предотвращения несанкционированного доступа. Закрытый ключ - этот ключ расшифровывает данные и хранится в секрете владельцем связанного сертификата.

Сертификационные органы.

Одним из ключевых компонентов любой архитектуры PKI является центр сертификации ЦС. Организация может полагаться на один или несколько центров сертификации в рамках своей PKI. Когда люди думают о ЦС, они традиционно думают о нем в смысле корневого ЦС или выдающего ЦС. Однако есть и промежуточные центры сертификации. Вот краткое описание каждого из них, которое поможет вам различать их три:

1. Корневые ЦС: Корневой ЦС зависит от корневого сертификата, который должен быть добавлен в хранилище доверенных сертификатов на каждом устройстве, которое будет использовать сертификаты, которые вы планируете выдать, чтобы оно было доверенным. И общедоступные, и частные центры сертификации имеют корневые центры сертификации и сертификаты. Поскольку все сертификаты связаны с этими корневыми сертификатами, центры сертификации делают все, что в их силах, для обеспечения безопасности своих соответствующих закрытых ключей. Обычно это включает хранение закрытых ключей корневого ЦС в автономном режиме в защищенных средах с использованием аппаратных модулей безопасности (HSM).
2. Промежуточные ЦС: этот тип ЦС служит одним или несколькими звеньями в цепочке сертификатов и имеет цифровую подпись / выдается корневым ЦС. Они несут ответственность за выдачу сертификатов конечных точек (например, сертификатов SSL / TLS, которые вы используете для защиты веб-сайтов) вашей организации. По сути, промежуточные центры сертификации служат посредником между сертификатами конечных точек и корневыми сертификатами, к которым они в конечном итоге возвращаются.
3. Выдающие ЦС: иногда промежуточные ЦС и выдающие ЦС являются одним и тем же, а иногда - отдельными. Разница зависит от иерархии вашего центра сертификации и количества уровней в вашей архитектуре PKI.

Одна из наиболее важных вещей, которые вам нужно сделать при разработке, внедрении и управлении PKI, - это: любой ценой защитить свои закрытые ключи. Вот почему многие передовые практики и советы подчеркивают изоляцию и защиту ваших закрытых ключей, особенно ключей корневых и промежуточных сертификатов. Архитектуры PKI могут иметь несколько различных форматов с точки зрения иерархии доверия - структура, которую использует каждая компания, зависит от ее потребностей. Иерархии доверия могут варьироваться от одноуровневой до трехуровневой. Трехуровневая архитектура обеспечивает высочайший уровень защиты закрытых ключей корневого ЦС и масштабируемость с точки зрения выпуска сертификатов. Однако двухуровневой иерархии обычно достаточно для нужд большинства организаций. В большинстве случаев вам не следует использовать одноуровневую иерархию, поскольку она не позволяет защитить закрытый ключ корневого сертификата. В двухуровневой архитектуре PKI закрытый ключ автономного корневого сертификата CA подписывает сертификаты выдающего CA. Выдающий ЦС отвечает за выдачу конечных сертификатов, которые подписывает его закрытый ключ. Это обеспечивает уровень разделения между корневым ЦС и конечными сертификатами отделяющей автономные и оперативные компоненты архитектуры PKI. При этом закрытый ключ автономного корневого CA-сертификата подписывает сертификаты онлайн-промежуточного CA. Затем промежуточный ЦС подписывает сертификаты выдающих ЦС, используя их закрытые ключи. Выдающие ЦС несут ответственность за выдачу листовых сертификатов с использованием своих знаков закрытого ключа. Это обеспечивает несколько уровней разделения между корневым ЦС и листовыми сертификатами. Двух- и трехуровневые архитектуры обеспечивают буферы между корневыми центрами сертификации и конечными сертификатами, которые выдаются организациям. Поскольку конечные сертификаты не выдаются напрямую корневым ЦС, эти степени разделения помогают защитить закрытый ключ корневого ЦС от компрометации.

Если ключ выдающего ЦС будет скомпрометирован, должны быть отозваны только сертификаты, выпущенные этим ЦС. Но если ключ корневого ЦС скомпрометирован, это означает, что каждый сертификат, когда-либо выпущенный им (или выпущенный промежуточными или выдающими ЦС, которые происходят из этого корневого центра), должен быть отозван. Таким образом, подписывая свои листовые сертификаты закрытым ключом выдающего ЦС, а не корневым ключом, вы значительно сокращаете количество затронутых сертификатов в маловероятном случае взлома ключа ЦС.

Архитектура PKI # 1: общедоступный центр сертификации Digicert

Общественные центры сертификации пользуются общественным доверием, потому что они придерживаются определенных отраслевых правил и требований. Таким образом, они могут выдавать сертификаты, которым также доверяют операционные системы, браузеры и мобильные устройства. Все это работает так:

• Вы - администратор PKI/, запрашиваете свои общедоступные сертификаты ЦС для своего веб-сайта, конечных устройств у общедоступного ЦС.
• Вся «магия» происходит в среде CA - они используют свои ресурсы и персонал для проверки вашего домена и / или организационных деталей.
• После того, как общедоступный центр сертификации проверит информацию о вашей организации, они выдают общедоступные доверенные сертификаты, соответствующие отраслевым стандартам и требованиям.
• После того, как общедоступный центр сертификации выдаст сертификаты, вы должны использовать свои внутренние ресурсы / персонал и следовать внутренней политике для развертывания сертификатов в общедоступной сети.

Хотя общедоступные сертификаты важны и служат для многих целей, они не могут удовлетворить все потребности вашей организации в области безопасности. В конце концов, у вас есть частные сетевые устройства и приложения, которые вам также необходимо защитить. Вот почему многие предприятия и организации предпочитают создавать что-то, известное как частный PKI или частный центр сертификации.

Архитектура PKI # 2: Частный ЦС (Внутренний ЦС)

Частный PKI, частный CA, внутренний PKI или внутренний CA - все это разные термины, описывающие одно и то же. Итак, как бы вы это ни называли, частная PKI сводится к наличию структуры PKI для защиты ваших веб-сайтов, служб, устройств и других ИТ-ресурсов в вашей сети. Запуск собственного частного центра сертификации проверяет многие аспекты, которые волнуют компании, когда речь идет об ИТ, безопасности и управлении пользователями, и дает вам максимальный контроль над своей PKI. Вы можете использовать такой ресурс, как Microsoft CA или то, что технически известно как службы сертификации Active Directory (ADCS), для настройки и управления вашей частной PKI. Вы можете разместить свою PKI локально или использовать поставщика облачного хостинга, такого как Amazon Web Services (AWS), для размещения развертывания Microsoft CA , развертывания корневых и подчиненных частных центров сертификации на серверах Windows и использования AWS Cloud HSM для подписания ваших сертификатов и храните свои приватные ключи. Это означает, что вам не придется тратить силы и средства на настройку собственных HSM на месте.

Проблемы создания собственной частной PKI

Дсоздания собственной частной PKI вы должны иметь бюджет, инфраструктуру, время, деньги, и опытный персонал. Как вы понимаете, настройка частной PKI и управление ею стоит дорого. Правильное управление PKI требует много времени, труда и ресурсов для организаций любого размера. Недоукомплектованность персоналом - огромная проблема. Многие внутренние команды не знают, как безопасно управлять центром сертификации, потому что они не обязательно выполняют эти обязанности в своей повседневной работе. По этим причинам многие организации, которые хотят иметь свои собственные PKI, в конечном итоге нанимают управляемых поставщиков PKI, чтобы настроить их и управлять им.

Архитектура PKI № 3: Управляемая PKI - mPKI или PKI-as-a-Service

Центр сертификации DigiCert предлагает то, что в отрасли известно как «PKI-as-a-service». Поставщик mPKI - это сторонняя компания, которая занимается всем, от настройки и развертывания частного центра сертификации вашей организации до его поддержки в долгосрочной перспективе. Digicert использует свои внутренние ресурсы, чтобы облегчить для вас этот процесс. При этом у вас по-прежнему есть полный контроль над вещами, которые важны для вашей организации, такими как профили сертификатов и требования к валидации.

Независимо от того, какой тип архитектуры PKI у вас есть, вам нужно тщательно управлять своими сертификатами и ключами .. эффективность вашей PKI зависит от того, насколько хорошо вы управляете своим сертификатом и жизненным циклом ключа. Жизненный цикл включает в себя все, от создания сертификатов и их соответствующих ключей и управления ими до повторной выдачи или скомпроментированного отзыва этих сертификатов. Эта ответственность является решающим фактором в возможностях вашей организации в области безопасности и соблюдения нормативных требований. Таким образом, постоянное отслеживание жизненных циклов сертификатов и ключей PKI имеет решающее значение во многих отношениях. Если истечет срок действия хотя бы одного сертификата в общедоступной системе или если единственный закрытый ключ будет скомпрометирован, вас ждет множество неприятностей - вы просто можете не знать об этом сразу ...

Используйте HSM для безопасного хранения закрытых ключей ЦС Это безопасные устройства хранения, которые помогают вашей организации хранить ваши личные ключи в безопасности. Вы можете использовать автономный аппаратный модуль безопасности (HSM) для хранения ключей корневого CA и онлайн-HSM для хранения ваших промежуточных ключей CA для частной PKI. Но если вы не хотите покупать и настраивать HSM для использования в своей среде, лучшим вариантом может быть использование управляемой платформы PKI, построенной с использованием HSM.

Используйте инструмент управления PKI для управления своими сертификатами и ключами Если у вас есть только несколько сертификатов и ключей для отслеживания и управления, вам, вероятно, удастся использовать электронную таблицу для управления PKI. Но учитывая что организации имеют много сертификатов и ключей, используемых в своих сетях, администраторы PKI, работающие на полную ставку, не могут отслеживать их все вручную. Вот почему компании часто используют платформы управления сертификатами, чтобы помочь им оставаться на вершине своих сертификатов, чтобы ничего не провалилось.