Створення власного сервера центру сертифікації

Розглянемо різні варіанти створення власного сервера центру сертифікації, а також плюси і мінуси кожного з них. Коли справа доходить до захисту ваших сайтів і / або пристроїв за допомогою сертифікатів SSL / TLS, у вас є два основних варіанти дій на вибір: купити у центру сертифікації DigiCert щоб підписувати і випускати сертифікати, або ви можете створити свій власний сервер центру сертифікації і самостійно генерувати сертифікати. Який спосіб краще? - Все залежить від вашої конкретної ситуації і потреб.

Якщо ви хочете створити власний сервер центру сертифікації, вам доведеться вибрати один з двох основних способів зробити це - 1) ви можете створити свій власний повністю з нуля або 2) використовувати кероване рішення PKI від стороннього виробника. Отже, які їхні плюси і мінуси кожного з них? Як вони вплинуть на ваш бізнес? І які платформи найбільш поширені на вибір?

Чи варто створювати власний приватний центр сертифікації?

Якщо ваш сайт є загальнодоступним - скажімо, це сайт електронної комерції, - ви, швидше за все, захочете використовувати загальнодоступний ЦС для свого сертифіката. Ці сертифікати підписані встановленим кореневим сертифікатом, ключі якого включені в усі основні веб-браузери та операційні системи. Таким чином, сертифікату вашого сайту будуть автоматично довіряти машини ваших відвідувачів, і вони не зустрінуть ніяких попереджень. З іншого боку, якщо ви є організацією, яка має свої власні внутрішні системи і пристрої, які є приватними для решти зовнішнього світу, то створення власного приватного центру сертифікації може дати багато переваг. Вам не доведеться купувати сертифікати для кожного пристрою і сайту, що може дуже швидко стати досить дороговартісним.

Приватний ЦС також ідеально підходить для аутентифікації в віртуальних приватних мережах (VPN), внутрішніх мережах Wi-Fi і інших службах, що використовують многофакторную аутентифікацію. У таких ситуаціях відмінно працюють приватні сертифікати - ви створюєте і встановлюєте їх самостійно, і вам не доводиться турбуватися про попередження щодо довіри, тому що зовнішні користувачі не будуть намагатися використовувати сертифікати. Їх повинні використовувати тільки внутрішні користувачі, які вже встановили ваш довірений кореневий сертифікат на свій комп'ютер.

Маючи власний приватний центр сертифікації, ви отримаєте повний контроль над такими речами, як:

Серверне обладнання
Кореневі і проміжні сертифікати
Механізми відкликання (CRL і OCSP)
Політика
Інтерфейс для видачі / управління сертифікатами
Інтеграції з системами

Створення власного сервера центру сертифікації також дає переваги в плані безпеки в певних ситуаціях. Приватні сертифікати можуть бути випущені з загальним ім'ям, яке не є адресою електронної пошти або загальнодоступним ім'ям хоста / IP. Так, наприклад, якщо ви хочете встановити сертифікат одного пристрою на інший IoT з використанням загальнодоступного SSL, єдиним варіантом буде призначити цьому пристрою адресу електронної пошти. Це не дуже практично і додає непотрібну складність управління.

Власний ЦС також дає вам повний контроль над видачею і відкликанням. Ви знаєте, що ніхто не може отримати сертифікат від вашого центру сертифікації, якщо ви їм не дозволили. Якщо замість цього ви захистили свою мережу IoT за допомогою загальнодоступного SSL, то люди за межами вашої організації можуть отримати сертифікати, випущені тим же центром сертифікації, і можуть використовувати їх для приєднання до вашої мережі (в залежності від того, як ви її налаштували). З приватними сертифікатами ви єдиний, хто може надати доступ або відкликати його в будь-який час.

Створення власного внутрішнього ЦС

Налаштування власного приватного ЦС з нуля дає вам найвищий рівень настройки та контролю, але є і компроміси, які вам доведеться враховувати. Теоретично створити власний приватний ЦС не так вже й складно. Проте, щоб зробити це правильно і всебічно - розставити всі крапки і перекреслити всі крапки - потрібна значна кількість часу і досвіду. Це ресурсномісткий проект, і питання про те, чи є це кращим вибором, ніж використання керованого стороннього рішення, необхідно аналізувати в залежності від конкретної організації.

Переважна більшість компаній з самого початку не налаштовані на створення ефективного загальнокорпоративного рішення PKI. Зазвичай потрібні значні додаткові інвестиції у вигляді персоналу і технічних ресурсів, тому що у організацій є інші більш пріоритетні цілі, на яких вони зосереджені - розробка нових продуктів, поліпшення виробничих можливостей, підтримка своїх торгових представників і т. д. Вирішуючи, який шлях обрати, вам необхідно мати чітке уявлення про плюси і мінуси кожного варіанту, щоб ви могли прийняти інформоване й розумне рішення, яке найкраще підходить для вашої організації.

Персонал
При розгляді витрат на створення власного сервера центру сертифікації з нуля часто не береться до уваги персонал. По-перше, вам, швидше за все, знадобиться додатковий персонал з досвідом роботи з PKI для створення приватного центру сертифікації та управління ним. Не тільки це, але й час вашій існуючій інженерній / ІТ-команді також потрібен. У них є інші обов'язки, пов'язані з безпекою і інфраструктурою, обслуговуванням поштових серверів, бездротових систем, аудитами, тестуванням на проникнення і т. д. Швидше за все, у них немає вільного часу для створення приватного центру сертифікації, і замість цього їм доведеться виконувати іншу високопріоритетну роботу.

Масштабованість
Масштабованість - ще одна проблема, з якою стикаються ті, хто створює власний приватний центр сертифікації. Організації схильні створювати свої ЦС, виходять з поточних потреб, а потім в кінцевому підсумку виявляють, що того, що вони придумали, буде недостатньо для їх майбутніх потреб. Наприклад, компанія налаштовує свій внутрішній центр сертифікації для видачі сертифікатів пристроїв, щоб вони могли пройти аутентифікацію в своїй мережі Wi-Fi. Потім, через шість місяців, вони розуміють, що їм потрібні сертифікати для всіх своїх внутрішніх серверів і вони хочуть, щоб вони автоматично видавалися через API. Раптово обсяг проекту розширився до створення API, що вимагає навіть більше ресурсів, ніж спочатку передбачалося. Без власного досвіду в області PKI важко точно передбачити, яким повинен бути кінцевий продукт.

Проблема масштабованості - це область, в якій керовані рішення зазвичай мають перевагу. Передбачати майбутнє ніколи не буває легко, але це ще важче, якщо PKI не є компетенцією вашої організації, а для більшості компаній це так і є. Це одна з причин, по якій кероване рішення PKI може бути оптимальним варіантом, оскільки комерційні центри сертифікації мають набагато кращі перспективи - їх минулий досвід допомагає їм краще підготуватися і масштабуватись в наступні кілька років і далі.

Витрати
Коли справа доходить до визначення вартості вашого внутрішнього центру сертифікації, це число буде багато в чому залежати від обсягу і ваших потреб. Ми рекомендуємо розбити міркування про вартість за категоріями, а потім проаналізувати кожну з них. Незалежно від специфіки вашої організації, якщо ви створюєте центр сертифікації з нуля, вам буде потрібно виділити в бюджет наступне:

Обладнання, програмне забезпечення та ліцензії
Персонал PKI
Навчання персоналу
Політика і практика сертифікатів
Аудит
Тестування уразливості

Найбільша причина, по якій компанії, як правило, ухиляються від професійних рішень і вирішують створити свій власний центр сертифікації, пов'язана з неправильними уявленнями про вартість рішення з розміщеним центром сертифікації. Для більшості організацій їх попередній досвід роботи з комерційними центрами сертифікації був пов'язаний з купівлею сертифікатів SSL для їх веб-сайтів. Тому передбачається, що приватні сертифікати матимуть таку ж вартість в розрахунку на сертифікат, що і їх публічно довірені SSL-сертифікати. Однак видача приватного сертифіката через керований ЦС майже завжди складає частину вартості публічно довіреного сертифікату, випущеного комерційним ЦС.

В цілому кероване рішення CA має більш низьку сукупну вартість володіння і значно менше вимог до первинних капіталовкладень. А якщо ви йдете по шляху «зроби сам», ризик буде вище, тому що все, чого не вистачає, буде на вас і тільки на вас. Не забудьте подумати про довгострокову перспективу і мати повне уявлення про всі потенційні витрати, перш ніж робити рішучий крок.

Можливості
Можливості - ще одна область, в якій існують неправильні уявлення про керовані центри сертифікації. Організації думають, що у них будуть обмежені можливості і вони не зможуть робити те ж саме з розміщеним ЦС, що вони можуть з доморощеним приватним ЦС. Візьмемо, наприклад, автоматичну видачу сертифікатів. Більшість розміщених платформ CA мають API-інтерфейси і інші інструменти, які дозволяють автоматизувати управління сертифікатами, а це означає, що вашій компанії не потрібно буде їх розробляти.

По суті, все зводиться до того, скільки ресурсів розробки у вас є. Якщо у вас вже є талант і інфраструктура, які можна використати при створенні власного API, то цей шлях надасть вам найнадійніші інструменти, що легко налаштовуються. А якщо ні? З керованим ЦС ви отримуєте готове рішення, яке налаштоване, щоб надати вам все необхідне прямо з коробки. Зворотною стороною є менша гнучкість і менша можливість настройки в порівнянні з тим, щоб зробити це з нуля. При цьому доступних опцій має вистачити для переважної більшості клієнтів.

Хостингові рішення також дозволяють вашим інженерам і ІТ-фахівцям зосередитися на найбільш пріоритетних проектах вашої компанії. Вони не проектують приватний ЦС - ця робота вже виконана постачальником - і ресурси, необхідні для адміністрування розміщеного ЦС, складають лише малу частину того, що потрібно для його створення з нуля.

Гнучкість
Нарешті, існує думка, що розміщені рішення CA обмежують гнучкість і обмежують користувачів певними профілями сертифікатів. Однак ви не обов'язково будете обмежені профілями сертифікатів, затвердженими CA / B Forum. Багато постачальників готові створювати власні профілі сертифікатів відповідно до ваших потреб. DigiCert, наприклад, може надавати профілі сертифікатів без SSL, які навіть не обов'язково повинні бути типу X.509. Якщо у вас є особливі вимоги, безперечно варто звернутися до постачальників, щоб дізнатися, що вони можуть запропонувати - швидше за все, ви не будете розчаровані.

Керовані центри сертифікації також можуть пропонувати поліпшену підтримку пристроїв в залежності від ситуації. Microsoft CA - найпопулярніша платформа для створення власного CA. Хоча він пропонує деяку автоматизацію через Active Directory, вам не пощастило з будь-якими серверами або пристроями, відмінними від Windows, які ви можете використовувати. Керовані центри сертифікації зазвичай включають в себе диспетчер PKI, який буде працювати з усіма вашими пристроями. Отже, керований ЦС потенційно може бути кращим варіантом не тільки для розгортання нових ЦС, але і для доповнення існуючого примірника ЦС Microsoft.

Популярні платформи для створення власного сервера центру сертифікації
Якщо ви вирішили, що створення власного сервера центру сертифікації з нуля - кращий варіант для вашої організації, наступним кроком буде вибір платформи, яку ви хочете використовувати. Двома найбільш широко використовуваними інструментами є Microsoft CA і OpenSSL.

Найбільш поширена платформа для приватних центрів сертифікації Microsoft CA. Це частина ОС Windows Server. Зверніть увагу, що за замовчуванням він не включений, але його необхідно встановити, вибравши «Служби сертифікації» в розділі «Додаткові компоненти Windows» вікна «Установка і видалення програм». Microsoft CA інтегрується з Active Directory, тому, якщо у вас вже є така настройка у вашій організації, це спростить настройку Microsoft CA. Як тільки ви закінчите, ви зможете видавати сертифікати своїм пристроям, підключеним до домену, за допомогою групових політик.

Налаштування нового розгортання Microsoft CA в Windows 10. Зворотною стороною Microsoft CA є те, що його розгортання - нетривіальне завдання. Хоча основні кроки по налаштуванню досить прості, правильне їх виконання зажадає значного часу. Вам знадобиться спеціальна команда, що має досвід роботи з PKI, яка буде займатися реалізацією, а потім керувати нею. Отже, хоча технічно Microsoft CA є безкоштовним, не забудьте врахувати витрати на додатковий персонал і устаткування.

OpenSSL має ту перевагу, що він безкоштовний і має відкритий вихідний код. Це криптографічна бібліотека, яка включає інструменти командного рядка для створення цифрових сертифікатів і управління ними, які ви можете налаштувати для роботи в якості центру сертифікації. Ви можете генерувати закриті ключі, створювати CSR, встановлювати сертифікати і переглядати інформацію про сертифікати.

Керовані рішення для створення власного сервера сертифікатів

DigiCert має свої власні платформи для створення і управління вашим приватним ЦС. Опція DigiCert називається Enterprise PKI Manager і призначена для масштабованості і спрощеного управління. Є кілька варіантів розгортання, в тому числі:

Публічна хмара
Приватна хмара
Гібридний
З повітряним зазором
Усередині країни або поза
DigiCert сервера

DigiCert Enterprise PKI Manager забезпечує інтеграцію з Active Directory і автоматичну реєстрацію, а також дозволяє швидко видавати велику кількість сертифікатів на вашому підприємстві. Він також включає попередньо налаштовані профілі сертифікатів для таких речей, як VPN, мережі Wi-Fi, REST API, Adobe і Microsoft. Ви також можете керувати всіма типами сертифікатів з єдиної панелі управління, включаючи випуск, установку і відгук.

PKI Manager от DigiCert це керована платформа, яка дає вам можливість видавати приватні сертифікати всіх типів без необхідності розгортання і управління вашим власним окремим сервером. Як і інші рішення керованого ЦС, воно вимагає значно менше ресурсів, ніж створення власного ЦС з нуля і дозволяє користувачам випускати, встановлювати, оновлювати і відкликати сертифікати через перевірену і масштабовану інфраструктуру. На додаток до цього ви отримуєте:

Резервні копії в безпечному сховищі
Комплексні політики безпеки
Безпечний об'єкт для обладнання вашого приватного ЦС
Центральне сховище ключів
Резервна система на випадок аварії
Аудити для підтвердження відповідності

Всі ці завдання критично важливі для успішного приватного центру сертифікації і в іншому випадку зажадали б більш сотень тисяч доларів, щоб виконати їх самостійно, не кажучи вже про час і вимоги до персоналу, які також будуть потрібні.

Хостинг або внутрішній сервер?
Якщо ваша організація має чітке уявлення про те, що їй потрібно, і у неї є бюджет і ресурси для цього, то створення власного сервера центру сертифікації з нуля дає вам найвищу ступінь настройки та контролю. Однак для більшості компаній PKI не є ні основним напрямком, ні основною компетенцією. Із-за необхідного рівня знань, часу і грошей хостингові рішення CA зазвичай є кращим вибором. А завдяки розвиненому стану більшості доступних приватних платформ PKI ви не будете приносити значних жертв з точки зору функцій і можливостей після того, як ви запустите свій керований приватний центр сертифікації.