Allt du behöver veta om PKI-som-en-tjänst (PKIaaS)

PKI-som-en-tjänst innebär att driftsätta och hantera en organisations Public Key Infrastructure (PKI) på en molnbaserad plattform. Denna tjänst hanterar hela PKI-livscykeln, från att konfigurera en Certifikatmyndighet (CA) att utfärda, hantera och återkalla slutenhetscertifikat för användares enheter eller domäner.

Funktioner som bättre flexibilitet, automatiserade procedurer och lägre omkostnader gör det enkelt för din organisation att etablera stark autentisering, datakrypteringoch integritetskontroll över sina digitala tillgångar och för att säkra känsliga data.

Låt oss förstå vikten av PKI-as-a-Service, med tanke på ett scenario där din organisation, antingen liten eller storskalig, hanterar känsliga uppgifter som PII (Personligt identifierbar information, personlig hälsoinformation), PCI (Personlig kortinformation), för att säkerställa att uppgifterna är skyddade måste organisationen säkerställa följande:

1. Data som överförs förblir oförändrade över organisationens nätverk och skapar en säker anslutning för att skydda användarens identitet.
2. Ett certifikat för en webbserver online (till exempel SSL / TLS certifikat) krävs eftersom organisationen av säkerhetsskäl behöver autentisera enheter, användare och interna resurser som är åtkomliga i den här applikationen.
3. Giltiga och säkra servercertifikat är en kritisk efterlevnadskontroll för att uppfylla regelkrav (t.ex. NIST, FIPS) Till exempel PCI DSS(För mer information om vikten av digitala certifikat, se denna blogg)
4. Att hantera ett flertal digitala certifikat manuellt är både tidskrävande och benäget för mänskliga fel, vilket leder till behovet av automatiska processer för utfärdande, förnyelse och återkallelse av certifikat.

PKI-as-a-Service minskar inte bara kostnader och fel, utan åtgärdar även alla ovanstående utmaningar genom att automatisera certifikatets livscykelprocess från utfärdande till registrering. Innan vi går vidare in i PKI-as-a-Service, Låt oss förstå konceptet PKI och hur det är relaterat till PKI-as-a-Service.

Public Key Infrastructure (PKI)

PKI utfärdar det digitala certifikatet (t.ex. SSL/TLS) för att autentisera datakommunikationen med asymmetrisk kryptering, det vill säga genom att generera X.509 certifikat med hjälp av publika och privata krypteringsnycklar. Dessa krypteringsnycklar underlättar end-to-end-kryptering.

De olika komponenterna i PKI är:

1. Offentliga och privata nycklar

   Som nämnts ovan används publika och privata nycklar för att utföra asymmetrisk kryptering. När en klient behöver ta emot känslig information delar de sin publika nyckel med avsändaren för att kryptera informationen. Denna process säkerställer att endast den avsedda mottagaren kan dekryptera och komma åt informationen med sin motsvarande privata nyckel.

2. Digitala certifikat

   Den privata nyckeln signerar digitala certifikatDessa certifikat fungerar inte bara som organisationens identitet utan bekräftar också att de är rättmätiga ägare av den tillhörande publika nyckeln.

3. certifikatutfärdare

   Certifieringsutfärdaren signerar det digitala certifikatet med sin privata nyckel och utfärdar certifikatet. Dessa är förtroendecentrumen. Det finns två typer av certifikatutfärdare – rot-certifikatutfärdare och utfärdande certifikatutfärdare.

   1. Rot-CA
      • Certifikatutfärdaren på toppnivå etablerar grunden för förtroendet i PKI-hierarkin.
      • Utfärdar och signerar certifikat för mellanliggande CA:er.
      • Vanligtvis underhålls de i en mycket säker offline-miljö för att förhindra obehörig åtkomst och säkerställa långsiktigt förtroende.
   2. Utfärdande CA
      • Bearbetar och signerar förfrågningar om slutgiltiga certifikat (t.ex. SSL/TLS) från MS CA-proxy eller andra källor.
      • Hanterar certifikatlivscykeln – utfärdar, förnyar och återkallar certifikat efter behov för olika applikationer.
      • Verksam online och ansvarar för den dagliga certifikathanteringen, samt säkerställer den fortlöpande giltigheten och säkerheten för utfärdade certifikat.
4. Registrerings myndighet

   Registreringsmyndigheten fungerar som en brygga mellan användare och certifieringsmyndigheten (CA). Den verifierar först identiteten på de som begär digitala certifikat och vidarebefordrar sedan de validerade begärandena till certifikatutfärdaren för utfärdande.

Att välja vad som är rätt för dig – PKI eller PKIaaS?

Ovan nämnda komponenter användes för att bygga en PKI, vilket är lika viktigt för certifikat utfärdade av PKI-as-a-Service som för On-Prem PKI.

Så, vad gör PKIaaS mer fördelaktigt än traditionella PKI-lösningar?

Faktor	PKI-som-en-tjänst	Traditionell PKI
konfiguration	Installationen är snabb och hanteras, med minimal infrastruktur från tjänsteleverantören som krävs ur din organisations perspektiv.	Det krävs avsevärd tid med expertis och resurser för driftsättning, inklusive hårdvara, programvara och nätverkskonfiguration.
Verksamhetsledningen	Minskar driftskostnader eftersom utfärdande, förnyelse och återkallelse av digitala certifikat hanteras av tjänsteleverantören.	Verksamheten hanteras internt, vilket kräver dedikerad personal för löpande uppgifter och underhåll av digitala certifikat.
Skalbarhet	Genom att använda molninfrastrukturen anpassar tjänsten sig automatiskt till dina certifikatkrav allt eftersom din organisation växer eller förändras.	Uppskalning kräver ytterligare hårdvara, programvarulicenser och konfigurationsändringar, vilket kan vara tidskrävande.
Pris	Genom att eliminera kostnaden för hårdvaruinköp, programvaruinstallationer och löpande underhåll minskas betydande driftskostnader. (Encryption Consulting erbjuder en prenumerationsmodell, vilket minimerar den initiala kostnaden)	Traditionell PKI kräver höga investeringar och resurser för hårdvaruinköp, programvaruinstallation och löpande administrationskostnader.

PKI-som-en-tjänst är ett föredraget val för organisationer som prioriterar användarvänlighet, kostnadsbesparingar och snabbare implementering.

Arbetsflöde för PKI-som-en-tjänst

Med utgångspunkt i processen att initiera certifikatsigneringsbegäran För den centrala samordningspunkten och slutligen utfärdandet av det digitala certifikatet, interagerar en serie PKIaaS-komponenter i följande steg:

1. Certifikatbegärande startar

   Vilken organisation (klient) som helst kan begära digitala certifikat (t.ex. SSL/TLS) med hjälp av protokoll som ACME, SCEP eller I samklangProcessen börjar med att certifikatbegäran skickas till Certificate Enrollment Gateway (CEG). CEG:n bygger, med hjälp av sitt klientcertifikat, en säker anslutning till Certificate Authority Gateway (CAGW)-servercertifikatet.

2. Behandlar begäran

   Certificate Authority Gateway (CAGW), som finns på ett containeriserat system, tar emot certifikatförfrågningar och vidarebefordrar dem i sin tur till en eller flera lämpliga hanterade certifikatutfärdare via en säker mellanhand eller proxyserver, vilket säkerställer att alla certifikat lagras och hanteras.

3. Anslutning till utfärdande CA

   Mellanhanden eller proxyservern fungerar som en brygga mellan certifikatutfärdarens gateway (CAGW) och den utsedda utfärdande certifikatutfärdaren inom PKI-miljön. Anslutningen är säkrad via klient- och servercertifikat (hostad på den utfärdande certifikatutfärdaren online).

4. Utfärdande av certifikat

   Utfärdande CA utfärdar slutentitetscertifikatet enligt den mottagna certifikatbegäran med hjälp av Active Directory-certifikattjänst (ADCS).

5. Certifikatleverans

   Efter att certifikatet har utfärdats returneras det till CAGW via MS CA Proxy. Slutligen skickar CAGW detta certifikat, som nu är signerat, till CEG, som levererar tillbaka det till klienten som begärde det.

Genom att göra det hanterar server- och klientcertifikatet säkert varje steg mellan initiering av begäran och tills dina certifikat levereras till end-to-end-systemet. PKI-tjänst (Public Key Infrastructure).

Funktioner i PKI-som-en-tjänst

PKI som en tjänst (PKIaaS) tillhandahåller en omfattande uppsättning funktioner för att hantera digitala certifikat och publikt-privata nyckelpar, vilket stärker säkerheten i hela organisationen. Följande är de viktigaste funktionerna i PKIaaS:

1. PKI-infrastrukturhantering
   • Förenklade och centraliserade konfigurationer av hanterade PKI, vilket möjliggör enkel distribution av certifikatutfärdare (CA:er) anpassade efter organisationens behov (till exempel valfri separation mellan rot-CA).
   • Utvärderar hela livscykeln för rot- och utfärdande CA:er och säkerställer att branschens bästa praxis följs (till exempel genom att använda FIPS 140-2 Nivå 3 HSM för att säkra certifikatutfärdares (CA:ers) privata nycklar med hög tillgänglighet.
2. Certifikatutfärdarens säkerhet
   • Säkerställer att rot-CA-nycklar (publik-privata nyckelpar) skapas säkert och transparent för användarna.
   • Automatiserar utfärdande och förnyelse av certifikat genom att implementera protokoll för automatisk registrering, till exempel SCEP (Enkelt certifikatregistreringsprotokoll), EST (Registrering över säker transport) och ACME (Automatisk certifikathanteringsmiljö) och REST API:er.
3. Policy- och efterlevnadshantering
   • Definiera och implementera certifikatpolicyer och -rutiner, såsom certifikatprofiler, giltighetsperioder och begränsningar för nyckelanvändning, anpassade för att möta din organisations säkerhetskrav.
   • Säkerställa efterlevnad av branschens bästa praxis i regelverk (t.ex. NIST, FIPS, GDPS).
4. Integration och automatisering
   • Använda RESTful API:er för att integrera PKI-tjänster med andra applikationer och system inom din organisation för att underlätta certifikathantering och distribution.
   • Skript och verktyg för att automatisera processer för utfärdande och hantering av certifikat.

Användningsområden

1. Protokoll som stöds

   För att automatisera processen att registrera användare och enheter för digitala certifikat samtidigt som du säkerställer att alla säkerhetskontroller tillämpas korrekt i hela organisationen. Låt oss gå igenom de protokoll som stöds och som säkerställer att certifikatregistreringen och utfärdandet automatiseras:

   1. Automatiserad certifikathanteringsmiljö (ACME)
      • Det här protokollet automatiserar kommunikationen mellan certifikatutfärdare (CA) och klienter som begär att utfärda servercertifikat för en domän.
      • Protokollet validerar domänägarskapet för certifikatförfrågningar. Det involverar vanligtvis utmaningar som HTTP-01 (placering av en fil på webbservern) eller DNS-01 (skapande av en DNS-post) för att bevisa domänkontroll.
      • ACME-klienter och -servrar kommunicerar via HTTPS, vilket säkerställer att certifikathanteringsprocessen är säker och skyddad från manipulering.
      • Genom enkel integration med CA-system förenklas hanteringen av SSL/TLS-certifikat.
   2. Simple Certificate Enrollment Protocol (SCEP)
      • SCEP automatiserar registreringsprocessen för digitala certifikat, vilket minskar manuell ansträngning och förenklar certifikathanteringsprocessen för enheter som routrar, switchar etc.
      • Protokollet implementerar säkra metoder för certifikatförfrågningar och utfärdande, till exempel med hjälp av PKCS#10 (Standarder för kryptografi med offentliga nycklar) för certifikatförfrågningar.
      • SCEP erbjuder autentiseringsverktyg för att säkerställa giltiga certifikatförfrågningar. Den verifierar identiteten på den begärande enheten eller användaren innan ett certifikat utfärdas.
      • SCEP är utformat för att hantera storskaliga distributioner effektivt, vilket gör det lämpligt för miljöer med många enheter som kräver certifikat.
      • SCEP är ett PKI-kommunikationsprotokoll som gör det möjligt för administratörer att automatiskt och säkert utfärda certifikat till mobila enheter som implementerar protokollet.
   3. WSTEP
      • En Windows-registreringsklient kan ansluta till en domänkontrollant via webbtjänsten för certifikatregistreringspolicy och begära certifikat från flera certifikatutfärdare (CA).
      • WSTEP digitala certifikat tillåter endast auktoriserade enheter åtkomst till specificerade tjänster eller nätverksresurser, vilket förbättrar den övergripande säkerheten.
      • Säkra kanaler och kryptering skyddar känslig information som utbyts under certifikatregistrering processen.
2. Microsoft Intune-integration
   • Certificate Enrollment Gateway kan ta emot SCEP-förfrågningar med en CSR (certifikatsigneringsförfrågan) från Windows-klienter och skicka CSR:n till Intune för validering. För att kontrollera användaråtkomst till företagsresurser och effektivisera app- och enhetshantering över hundratals mobila enheter, stationära datorer och virtuella slutpunkter.
   • Hantera kryptografiska policyer/algoritmer effektivt för att överensstämma med regelverk och efterlevnad.
   • Snabbare ogiltigförklaring av certifikat med automatisk återkallelse i Intune, vilket leder till en bättre katastrofåterställningsplan.
3. Slutpunktsautentisering (UEM/MDM)
   • Kontrollera att certifikaten är utfärdade med starka säkerhetsinställningar, så att du kan hålla koll på certifikatanvändning och giltighet.
   • Protokollet tillhandahåller autentisering av användarnamn och lösenord.
   • Klienter som programvaran Mobile Device Management (MDM) måste autentisera sig mot Certificate Enrollment Gateway med giltiga inloggnings- och lösenordsuppgifter.
   • Den här inställningen innehåller underinställningar för att definiera användarnamn och lösenord som klienter använder för att autentisera mot Certificate Enrollment Gateway för MDM-protokollet.
   • För MDM-protokollet måste användaren definiera minst ett användarnamn och lösenord.
   • Eftersom endast behörig personal bör tillåtas hantera känsliga certifikatfunktioner är detaljerad åtkomstkontroll och rollbaserade behörigheter viktiga efterlevnadskriterier (NIST, FIPS 140-2).
   • Detaljerad åtkomstkontroll och rollbaserade behörigheter är avgörande för att hantera känsliga certifikatfunktioner i enlighet med NIST- och FIPS-efterlevnad.
   • Efter bedömningen av både integritetskontroller och säkerhetsuppdateringsnivåer kan certifikat utfärdas.
4. S / MIME
   • End-to-end-kryptering av e-postmeddelanden.
   • Separation av signerings- och krypteringsfunktionaliteten, S/MIME-certifikat gör att båda kan göras samtidigt utan att förnekas.
   • Hantering av nyckelhistorik och automatiserad säkerhetskopiering sparar tid för oavbruten lagring av kryptografiska nycklar.
   • Fungerar med flera enheter och operativsystem som Windows, macOS, iOS och Android.
5. Hanterad PKI
   • Säker installation för din root-CA-infrastruktur som uppfyller ISO 27001-standarder och skyddar dina kryptografiska tillgångar.
   • Behåll full kontroll över dina privata nycklar och säkerställ fullständig översikt över dina digitala certifikat och kryptografiska operationer.
   • Privata nycklar lagras i FIPS 140-2 nivå 3-certifierade Hårdvarusäkerhetsmoduler (HSM) för att förhindra obehörig åtkomst eller manipulering.
   • CRL (lista över återkallade certifikat) och OCSP (onlinecertifikatstatusprotokoll) tjänster för att verifiera certifikatens giltighet och status, vilket upprätthåller förtroendet för ditt PKI-ekosystem.

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Varför Encryption Consulting LLC?

Implementera PKI-som-en-tjänst i din miljö.

Krypteringskonsulttjänster erbjuder en mycket flexibel, pålitlig och högkvalitativ lösning PKIaaS-lösning med ökad skalbarhet och konsekventa supportfunktioner, vilket ytterligare förbättrar hanteringen och funktionaliteten av digitala certifikat i hela organisationen. Här är en snabb titt på de viktigaste funktionerna:

1. Anpassningsbara och skalbara lösningar
   • Flexibel integration: Vi utökar ett anpassat ramverk enligt er organisations specifika säkerhetskrav, med dess breda utbud och omfattande stöd för olika certifieringsutfärdare (CA), vilket förbättrar anpassningsförmågan.
   • skalbarhet: Balansera tillväxten av certifikat och användare utan att hämma prestandan.
2. Konsekventa supportfunktioner
   • Hög garanti: Vi erbjuder starka säkerhetsfunktioner i PKIaaS och säkerställer efterlevnad av standarder som HIPAA, PCI-DSS och GDPR. Det hjälper till att kontrollera och hantera certifikatpolicyer (vilket minskar risker och förbättrar digital säkerhet).
   • Stödförstärkning: Få nödvändigt stöd vid dagliga problem, och säkerställ att driften upprätthålls smidigare.

Olika distributionsmetoder:

För enkel implementering i din organisations miljö erbjuder vi PKIaaS-lösningen för driftsättning på olika plattformar:

• OnPrem PKI: Hanterad PKI som ska distribueras inom din organisationsinfrastruktur, vilket innebär att PKI-komponenter som rot- och utfärdande certifikatutfärdare (CA) finns på en lokal plattform.
• SaaS PKI: PKI-konfigurationen för hantering av certifikatlivscykeln ska konfigureras i din organisations molnbaserade plattform, vilket förbättrar säkerheten och etablerar digitala identiteter för användarna.
• PKIaaS: Automatiserad hantering av certifikatlivscykeln och anpassad ManagedPKI som ska hostas och hanteras av Encryption Consultings molnmiljö med flexibiliteten att anpassa PKI:n baserat på din domän och dina säkerhetskrav.

Slutsats

PKIaaS är en ny, högpresterande version av den traditionella PKI-lösningen som finns i deras datacenter. Oavsett hur stor eller liten din organisation är, hanterar alla känsliga uppgifter, såsom personligt identifierbar information (PII) och skyddad hälsoinformation (PHI), vilket innebär att PKI:er är ett måste för säker kommunikation. PKIaaS uppfyller alla dessa krav genom att erbjuda en molnbaserad tjänst som hanterar hela livscykeln för certifikat och levererar säkerhet, efterlevnad och driftseffektivitet.

Denna säkra men ändå användarvänliga lösning har utformats för att optimera certifikathanteringen och öka dina säkerhetsfunktioner samtidigt som kostnaderna hålls nere. PKIaaS har framstått som en idealisk lösning för företag som hanterar digital säkerhet och efterlevnadsdynamik, och erbjuder avancerade funktioner för att lagra certifikat säkert samtidigt som säker kommunikation över alla funktionella gränser underlättas.