Архітектура PKI, основи проектування приватної системи PKI Україна
Логотип департаменту безпеки WebTrust ТОВ Адграфікс

Архитектура PKI

Инфраструктура открытых ключей, или PKI - это основная структура, которая делает безопасное интернет-общение реальностью за счет использования шифрования с открытым ключом. Архитектура PKI существует в нескольких формах в зависимости от того, что вы делаете с PKI:

Что такое PKI? Что такое архитектура PKI? Определение архитектуры PKI

Архитектура PKI описывает все организационные и структурные компоненты, которые позволяют создавать, использовать и управлять инфраструктурой открытых ключей вашей организации. Это включает в себя все, от серверов и HSM, на которых размещается ЦС, до компонентов ЦС, таких как корневые сертификаты и списки отзыва сертификатов. В физическом мире две стороны должны были физически встретиться, чтобы обменяться ключами для обмена зашифрованными сообщениями. Но в глобальном цифровом мире, который позволяет данным перемещаться со скоростью света, такой устаревший подход к обмену ключами больше не нужен. Здесь в игру вступает инфраструктура открытых ключей. Краткое определение инфраструктуры открытого ключа включает в себя все, что делает возможной безопасную связь в Интернете. Это базовые технологии включая цифровые сертификаты и криптографические ключи, политики, процессы, которые:

Основные элементы инфраструктуры открытых ключей

Цифровые сертификаты.

Это небольшие цифровые файлы, которые обеспечивают идентификацию и шифрование для различных случаев использования в Интернете. Каждый сертификат содержит большое количество идентифицирующей информации об организации или субъекте, которому он выдан в зависимости от уровня проверки, на котором он выдан, но имеет ограниченный срок службы. Общие категории цифровых сертификатов включают:

Пары публичных и частных криптографических ключей.

Это криптографические инструменты, необходимые для шифрования (открытый ключ) и дешифрования (закрытый ключ) информации через Интернет. Открытый ключ - этот ключ шифрует данные для предотвращения несанкционированного доступа. Закрытый ключ - этот ключ расшифровывает данные и хранится в секрете владельцем связанного сертификата.

Сертификационные органы.

Одним из ключевых компонентов любой архитектуры PKI является центр сертификации ЦС. Организация может полагаться на один или несколько центров сертификации в рамках своей PKI. Когда люди думают о ЦС, они традиционно думают о нем в смысле корневого ЦС или выдающего ЦС. Однако есть и промежуточные центры сертификации. Вот краткое описание каждого из них, которое поможет вам различать их три:

  1. Корневые ЦС: Корневой ЦС зависит от корневого сертификата, который должен быть добавлен в хранилище доверенных сертификатов на каждом устройстве, которое будет использовать сертификаты, которые вы планируете выдать, чтобы оно было доверенным. И общедоступные, и частные центры сертификации имеют корневые центры сертификации и сертификаты. Поскольку все сертификаты связаны с этими корневыми сертификатами, центры сертификации делают все, что в их силах, для обеспечения безопасности своих соответствующих закрытых ключей. Обычно это включает хранение закрытых ключей корневого ЦС в автономном режиме в защищенных средах с использованием аппаратных модулей безопасности (HSM).
  2. Промежуточные ЦС: этот тип ЦС служит одним или несколькими звеньями в цепочке сертификатов и имеет цифровую подпись / выдается корневым ЦС. Они несут ответственность за выдачу сертификатов конечных точек (например, сертификатов SSL / TLS, которые вы используете для защиты веб-сайтов) вашей организации. По сути, промежуточные центры сертификации служат посредником между сертификатами конечных точек и корневыми сертификатами, к которым они в конечном итоге возвращаются.
  3. Выдающие ЦС: иногда промежуточные ЦС и выдающие ЦС являются одним и тем же, а иногда - отдельными. Разница зависит от иерархии вашего центра сертификации и количества уровней в вашей архитектуре PKI.

Одна из наиболее важных вещей, которые вам нужно сделать при разработке, внедрении и управлении PKI, - это: любой ценой защитить свои закрытые ключи. Вот почему многие передовые практики и советы подчеркивают изоляцию и защиту ваших закрытых ключей, особенно ключей корневых и промежуточных сертификатов. Архитектуры PKI могут иметь несколько различных форматов с точки зрения иерархии доверия - структура, которую использует каждая компания, зависит от ее потребностей. Иерархии доверия могут варьироваться от одноуровневой до трехуровневой. Трехуровневая архитектура обеспечивает высочайший уровень защиты закрытых ключей корневого ЦС и масштабируемость с точки зрения выпуска сертификатов. Однако двухуровневой иерархии обычно достаточно для нужд большинства организаций. В большинстве случаев вам не следует использовать одноуровневую иерархию, поскольку она не позволяет защитить закрытый ключ корневого сертификата. В двухуровневой архитектуре PKI закрытый ключ автономного корневого сертификата CA подписывает сертификаты выдающего CA. Выдающий ЦС отвечает за выдачу конечных сертификатов, которые подписывает его закрытый ключ. Это обеспечивает уровень разделения между корневым ЦС и конечными сертификатами отделяющей автономные и оперативные компоненты архитектуры PKI. При этом закрытый ключ автономного корневого CA-сертификата подписывает сертификаты онлайн-промежуточного CA. Затем промежуточный ЦС подписывает сертификаты выдающих ЦС, используя их закрытые ключи. Выдающие ЦС несут ответственность за выдачу листовых сертификатов с использованием своих знаков закрытого ключа. Это обеспечивает несколько уровней разделения между корневым ЦС и листовыми сертификатами. Двух- и трехуровневые архитектуры обеспечивают буферы между корневыми центрами сертификации и конечными сертификатами, которые выдаются организациям. Поскольку конечные сертификаты не выдаются напрямую корневым ЦС, эти степени разделения помогают защитить закрытый ключ корневого ЦС от компрометации.

Если ключ выдающего ЦС будет скомпрометирован, должны быть отозваны только сертификаты, выпущенные этим ЦС. Но если ключ корневого ЦС скомпрометирован, это означает, что каждый сертификат, когда-либо выпущенный им (или выпущенный промежуточными или выдающими ЦС, которые происходят из этого корневого центра), должен быть отозван. Таким образом, подписывая свои листовые сертификаты закрытым ключом выдающего ЦС, а не корневым ключом, вы значительно сокращаете количество затронутых сертификатов в маловероятном случае взлома ключа ЦС.

Архитектура PKI # 1: общедоступный центр сертификации Digicert

Общественные центры сертификации пользуются общественным доверием, потому что они придерживаются определенных отраслевых правил и требований. Таким образом, они могут выдавать сертификаты, которым также доверяют операционные системы, браузеры и мобильные устройства. Все это работает так:

Хотя общедоступные сертификаты важны и служат для многих целей, они не могут удовлетворить все потребности вашей организации в области безопасности. В конце концов, у вас есть частные сетевые устройства и приложения, которые вам также необходимо защитить. Вот почему многие предприятия и организации предпочитают создавать что-то, известное как частный PKI или частный центр сертификации.

Архитектура PKI # 2: Частный ЦС (Внутренний ЦС)

Частный PKI, частный CA, внутренний PKI или внутренний CA - все это разные термины, описывающие одно и то же. Итак, как бы вы это ни называли, частная PKI сводится к наличию структуры PKI для защиты ваших веб-сайтов, служб, устройств и других ИТ-ресурсов в вашей сети. Запуск собственного частного центра сертификации проверяет многие аспекты, которые волнуют компании, когда речь идет об ИТ, безопасности и управлении пользователями, и дает вам максимальный контроль над своей PKI. Вы можете использовать такой ресурс, как Microsoft CA или то, что технически известно как службы сертификации Active Directory (ADCS), для настройки и управления вашей частной PKI. Вы можете разместить свою PKI локально или использовать поставщика облачного хостинга, такого как Amazon Web Services (AWS), для размещения развертывания Microsoft CA , развертывания корневых и подчиненных частных центров сертификации на серверах Windows и использования AWS Cloud HSM для подписания ваших сертификатов и храните свои приватные ключи. Это означает, что вам не придется тратить силы и средства на настройку собственных HSM на месте.

Проблемы создания собственной частной PKI

Дсоздания собственной частной PKI вы должны иметь бюджет, инфраструктуру, время, деньги, и опытный персонал. Как вы понимаете, настройка частной PKI и управление ею стоит дорого. Правильное управление PKI требует много времени, труда и ресурсов для организаций любого размера. Недоукомплектованность персоналом - огромная проблема. Многие внутренние команды не знают, как безопасно управлять центром сертификации, потому что они не обязательно выполняют эти обязанности в своей повседневной работе. По этим причинам многие организации, которые хотят иметь свои собственные PKI, в конечном итоге нанимают управляемых поставщиков PKI, чтобы настроить их и управлять им.

Архитектура PKI № 3: Управляемая PKI - mPKI или PKI-as-a-Service

Центр сертификации DigiCert предлагает то, что в отрасли известно как «PKI-as-a-service». Поставщик mPKI - это сторонняя компания, которая занимается всем, от настройки и развертывания частного центра сертификации вашей организации до его поддержки в долгосрочной перспективе. Digicert использует свои внутренние ресурсы, чтобы облегчить для вас этот процесс. При этом у вас по-прежнему есть полный контроль над вещами, которые важны для вашей организации, такими как профили сертификатов и требования к валидации.

Независимо от того, какой тип архитектуры PKI у вас есть, вам нужно тщательно управлять своими сертификатами и ключами .. эффективность вашей PKI зависит от того, насколько хорошо вы управляете своим сертификатом и жизненным циклом ключа. Жизненный цикл включает в себя все, от создания сертификатов и их соответствующих ключей и управления ими до повторной выдачи или скомпроментированного отзыва этих сертификатов. Эта ответственность является решающим фактором в возможностях вашей организации в области безопасности и соблюдения нормативных требований. Таким образом, постоянное отслеживание жизненных циклов сертификатов и ключей PKI имеет решающее значение во многих отношениях. Если истечет срок действия хотя бы одного сертификата в общедоступной системе или если единственный закрытый ключ будет скомпрометирован, вас ждет множество неприятностей - вы просто можете не знать об этом сразу ...

Используйте HSM для безопасного хранения закрытых ключей ЦС Это безопасные устройства хранения, которые помогают вашей организации хранить ваши личные ключи в безопасности. Вы можете использовать автономный аппаратный модуль безопасности (HSM) для хранения ключей корневого CA и онлайн-HSM для хранения ваших промежуточных ключей CA для частной PKI. Но если вы не хотите покупать и настраивать HSM для использования в своей среде, лучшим вариантом может быть использование управляемой платформы PKI, построенной с использованием HSM.

Используйте инструмент управления PKI для управления своими сертификатами и ключами Если у вас есть только несколько сертификатов и ключей для отслеживания и управления, вам, вероятно, удастся использовать электронную таблицу для управления PKI. Но учитывая что организации имеют много сертификатов и ключей, используемых в своих сетях, администраторы PKI, работающие на полную ставку, не могут отслеживать их все вручную. Вот почему компании часто используют платформы управления сертификатами, чтобы помочь им оставаться на вершине своих сертификатов, чтобы ничего не провалилось.