Organisationer behöver en stark grund för WPA2-Enterprise-nätverket, och för att uppnå detta bör distribution av digitala certifikat inkludera en lösning för hantering av certifikatlivscykeln. System för hantering av certifikatlivscykeln, även kända som certifikathanteringssystem (CMS), ger stöd för att använda digitala X.509-certifikat för autentisering. CMS gör det möjligt för administratörer att hantera och kontrollera varje del av ett enskilt certifikat på rätt sätt genom att upprätthålla ett bredare perspektiv på nätverkets tillstånd.

certifikatutfärdare

En certifikatutfärdare (CA) är en av de viktigaste pelarna i PKI. CA är en mycket betrodd enhet som har ansvaret för att signera och generera digitala certifikat. Vi kommer att prata om digitala certifikat i nästa del. CA genomgår också en uppsättning regler för att säkerställa certifikatens integritet. Innan ett certifikat utfärdas granskar en CA först register och dokumentation från officiella källor för att säkerställa att verksamheten är autentisk, och utfärdar sedan ett digitalt certifikat. En CA utför tre huvuduppgifter:

Utfärdar certifikat
Bekräftar certifikatinnehavarens identitet
Bevisar certifikatets giltighet

Som du kan se i diagrammet ovan finns det en ordentlig hierarki av CA:er, medan var och en har sin unika roll och betydelse i PKI-arkitekturen. Det finns generellt tre typer av hierarkier: ennivå, tvånivå och trenivå.
Låt oss diskutera varje enhet som är involverad i diagrammet ovan:

Rot-CA

Rot-CA:n är på den översta nivån i hierarkin. Den ansvarar för att utfärda och signera certifikat för mellanliggande eller underordnade CA:er, vilka så småningom kan utfärda certifikat för slutenheter som datorer, användare eller tjänster, vilket framgår av diagrammet ovan. På grund av sin betydelse i PKI-infrastrukturen hålls rot-CA:ns privata nyckel mycket säker i alla organisationer, oftast offline för att skydda mot kompromettering. De har vanligtvis en lång livslängd, ofta 20 år eller mer. De behöver dock regelbundet förnyas innan de löper ut för att upprätthålla förtroendekedjan.

Underordnad CA

En underordnad CA ligger mellan rot-CA och slutentitetscertifikat och fungerar som en mellanhand mellan dem. Med detta menar vi att de tar emot sina egna certifikat från rot-CA:n och kan utfärda certifikat till användare, enheter eller andra enheter. Alla certifikat som utfärdas av denna underordnade CA bildar en förtroendekedja som slutligen länkar tillbaka till rot-CA:n. Denna förtroendekedja är viktig eftersom kedjan, vid validering av ett certifikat, endast kontrolleras för att säkerställa att certifikatet är giltigt och betrott.

Slutenhetscertifikat

Som redan diskuterats i underordnade certifikatutfärdare är dessa de slutgiltiga certifikaten som utfärdas från certifikatutfärdaren. De utfärdar inte certifikat till andra enheter och ligger därför längst ner i certifikathierarkin. Dessa certifikat installeras på servrar, maskiner och andra enheter. Dess enkla användningsfall kan vara ett SSL/TLS-certifikat, som används för att upprätta en säker anslutning mellan användaren och webbläsaren, vilket säkerställer datasekretess och integritet.

Hur fungerar en CA?

Processen för att få en CA att utfärda ett signerat certifikat förklaras nedan:

Begäraren eller klienten skapar ett nyckelpar (offentlig och privat nyckel) och skickar in en begäran som kallas en certifikatsigneringsbegäran (CSR) till en betrodd certifikatutfärdare. CSR:n innehåller klientens offentliga nyckel och all information om begäraren.
CA validerar om informationen på CSR:n är sann. Om så är fallet utfärdar och signerar den ett certifikat med CA:ns privata nyckel och ger det sedan till begärande part.
Begäraren kan använda det signerade certifikatet för lämpligt säkerhetsprotokoll.

Digitalt certifikat

Ett digitalt certifikat är en typ av fil eller ett elektroniskt lösenord som används för att bevisa ett systems äkthet med hjälp av kryptografiska och PKI-tekniker. Det hjälper organisationer att säkerställa att endast betrodda enheter eller användare kan ansluta till nätverket. En annan användning är att bekräfta en webbplats äkthet till en webbserver, känt som ett Secure Socket Layer (SSL)-certifikat.

Ett digitalt certifikat innehåller inloggningsuppgifter som användarens namn, företag och enhetens IP-adress (Internet Protocol) eller serienummer. Det inkluderar en kopia av den publika nyckeln från certifikatinnehavarna, vilken måste matchas med en privat nyckel för att jämföra och verifiera dess äkthet. Ett certifikat med publik nyckel utfärdas sedan av certifikatutfärdare för att signera certifikaten och verifiera inloggningsuppgifterna för den begärda enheten. Informationen i ett certifikat är:

Ämne
Anger namnet på den dator, användare, nätverksenhet eller tjänst som CA utfärdar certifikatet till.
Serienummer
Tillhandahåller en unik identifierare för varje certifikat som en CA utfärdar.
emittent
Anger ett unikt namn för den certifikatutfärdare som utfärdade certifikatet.
Giltig från
Anger datum och tidpunkt då certifikatet blir giltigt.
Giltig till
Anger datum och tidpunkt då certifikatet inte längre anses giltigt.
Public Key
Innehåller den offentliga nyckeln för det nyckelpar som är associerat med certifikatet.
Signaturalgoritm
Algoritmen som används för att signera certifikatet.
Signaturvärde
Bitsträng som innehåller den digitala signaturen.

Vikten av digital certifiering

Digitala certifikat kan begäras av organisationer, individer och webbplatser. En offentlig nyckel tillhandahålls genom en signeringsbegäran för att validera informationen. Vid validering av en betrodd certifikatutfärdare signeras informationen av den certifikatutfärdaren med en nyckel som erbjuder en förtroendekedja till certifikatet. Denna process gör det möjligt för certifikatet att verifiera ett dokuments äkthet, autentisera eller tillhandahålla bevis på en webbplats inloggningsuppgifter.

Typer av digitala certifikat

Digitala certifikat kan vara av olika typer, och dessa är:

TLS/SSL-certifikat (Transport Layer Security)

A TLS / SSL-certifikat används på en server för att säkerställa att kommunikationen med klienten förblir krypterad och privat genom att tillhandahålla autentisering för webbservern att skicka och ta emot krypterade meddelanden till klienter. TLS/SSL-certifikat finns i tre former:
- Domän validerat
  
  Detta är en snabb valideringsmetod som accepteras av alla webbplatser, är billig att få tag på och kan utfärdas inom en minut.
- organisation Validerad
  
  Detta bidrar till enkel affärsautentisering och är det bästa valet för organisationer som säljer produkter online.
- Extended Validation
  
  Detta erbjuder fullständig företagsautentisering för att hantera stora organisationers känsliga och privata information. Det används vanligtvis av företag inom finansbranschen för att erbjuda autentisering, förtroende och säkerhet.
Kodsigneringscertifikat

Det används främst för att bekräfta äktheten hos nedladdade filer eller programvara från internet. Används främst av utvecklare för att tillhandahålla programvara som är tillgänglig på tredjepartswebbplatser, så att dessa filer eller programvara inte kan manipuleras. Utvecklaren eller utgivarna måste signera så att användarna vet. den här programvaran är äkta och kan laddas ner.
Klientcertifikat

Detta certifikat används för att identifiera en enskild användare för en annan användare eller maskin, eller en maskin för en annan. I ett e-postmeddelande signerar en avsändare ett meddelande digitalt medan mottagaren verifierar dess signatur. Detta kan också användas för att få åtkomst till skyddade databaser.

Fördelar med digitala certifikat

Digitala certifikat är viktiga eftersom cyberattacker fortsätter att öka i volym och komplexitet. Några viktiga fördelar med digitala certifikat är:

Säkerhet

Digitala certifikat ansvarar för att kryptera intern och extern kommunikation för att förhindra att angripare stjäl eller avlyssnar känslig data. Till exempel hjälper ett TLS/SSL-certifikat till att kryptera data mellan en webbläsare och en webbserver för att säkerställa att en angripare inte kan avlyssna webbplatsbesökares data.
Skalbarhet

Digitala certifikat ger företag av alla former och storlekar samma krypteringskvalitet. Dessa är mycket skalbara, vilket innebär att de enkelt kan återkallas, utfärdas och förnyas för att säkra användarenheter och sedan hanteras via en centraliserad plattform.
Autencitet

Digitala certifikat är avgörande för att säkerställa äktheten i onlinekommunikation och förhindra cyberattacker i denna tidsålder. Dessa säkerställer att en användares meddelanden alltid skickas och når den avsedda mottagaren. Några användningsfall är dokumentsigneringscertifikat för digital dokumentsignering, TLS/SSL-certifikat som krypterar webbplatser och Secure/Multipurpose Internet Mail Extensions (S/MIME) som krypterar e-postkommunikation.
Allmänna förtroende

Att använda ett digitalt certifikat säkerställer att en webbplats är autentiserad och äkta, och att dokument och e-postmeddelanden är tillräckligt autentiserade. Det återspeglar också allmänhetens förtroende genom att försäkra kunderna om att de har att göra med ett genuint företag som är upptaget av säkerhet och integritet.
Pålitlighet

Endast de CA:er kan utfärda digitala certifikat som är offentligt betrodda. Det krävs rigorös granskning för att säkerställa att angripare inte kan lura offer som använder ett digitalt certifikat.

Vad är skillnaden mellan ett digitalt certifikat och en digital signatur?

A digitalt certifikat är en fil som används för att verifiera en användares eller en enhets identitet och möjliggör anslutningar som är krypterade till sin natur. Samtidigt är en digital signatur en hashningsmetod som använder numeriska strängar för att validera identitet och ge äkthet. En kryptografisk nyckel används för att fixera en digital signatur till ett dokument eller ett e-postmeddelande. Denna signatur hashas, och när mottagaren tar emot den utförs samma hashfunktion för att dekryptera meddelandet.

Varför är certifikatlivscykelhantering viktigt?

Digitala certifikat byggs med hjälp av kryptografi med publik nyckel, en typ av asymmetrisk kryptografi där båda parter (sändare och mottagare) har hälften av ett offentligt-privat nyckelpar. Varje sida använder sin hälft för att kryptera kommunikationen, som innehavaren av den andra hälften kan dekryptera. Denna typ av kryptografi är bättre än hashkryptografi, som vanligtvis används i autentiseringsbaserade system men kräver fler steg.

På grund av dess asymmetriska natur kräver det att två parter upprättar säker kommunikation för att tillhandahålla det offentlig-privata nyckelparet. Detta sker vanligtvis genom ömsesidigt förtroende hos en CA. Ett robust CMS är ett viktigt verktyg för att hantera ett certifikats livscykel. Detta CMS låter en användare se, hantera och anpassa alla processaspekter.

Stegen i en certifikatlivscykel

Digitala certifikat utfärdas och bekräftas av en CA för att autentisera en identitet. Lösenord är beroende av fraser eller ord som skapats av en människa, användaren. Men certifikat använder offentlig-privat nyckelkryptering för att kryptera information och autentiseras med Extensible Authentication Protocol TLS (EAP-TLS), ett av de säkraste autentiseringsprotokollen. EAP-TLS definieras i RFC 3748, som ger stöd för flera autentiseringsmetoder.

Certifikat erbjuder fler fördelar eftersom de är enklare att använda och säkrare än autentisering baserad på behörighetsuppgifter. De flesta IT-säkerhetsföretag (nästan 55 %) föredrar en metod för att skydda konton och autentisera dem utan att använda lösenord. Certifikat har dock också ett utgångsdatum och är inte giltiga för alltid, och deras livscykel baseras på en organisations preferenser.

Stegen i ett certifikat är:

Certifikatregistrering
Certifikatdistribution
Validering av certifikat
Återkallande av certifikat
Certifikatförnyelse
Certifikatförstöring
Certifikatgranskning

Certifikatregistrering

Certifikatregistrering är den första fasen i certifikatcykeln, som vanligtvis börjar med att en användare eller en enhet begär ett certifikat från en certifikatutfärdare. Denna begäran består av en offentlig nyckel och annan registreringsinformation. När certifikatutfärdaren tar emot en begäran om certifikatet verifierar den informationen baserat på en avancerad uppsättning regler. Om informationen autentiseras och är legitim skapar certifikatutfärdaren certifikatet och ett annat certifikat för den begärande parten för att identifiera det. Det finns fyra steg som krävs för certifikatregistrering:

Begär ett certifikat

En certifikatregistreringsprocess startar när en användare begär en certifikatregistrering hos en CA. Denna begäran bör innehålla tillräckligt med information för att CA ska kunna verifiera användarens identitet. Den information som behövs är domännamnet, företagets telefonnummer, som kan erhållas via offentliga källor, och tre kontakter: auktorisering, teknisk information och fakturering. CA kan också begära ytterligare information beroende på vilken typ av certifikat som begärs.
Lägg till obligatoriska egenskaper

Innan inlämningen av relevant information (i steget ovan) är klar måste användaren också lämna in andra detaljer, såsom att skicka över sin publika nyckel för CA:s signatur, hashalgoritmen och den digitala signaturen för att skapa den digitala signaturen med hjälp av den. Denna publika nyckel, tillsammans med en privat nyckel, skapas av en kryptografisk tjänsteleverantör (CSP) efter att certifikatbegäran mottagits och skickats till CA:n.
CA validerar begäran

Efter att ha mottagit registreringsbegäran använder CA en offentlig nyckel för att dekryptera den digitala signaturen, beräknar en hash och verifierar hashen i den dekrypterade signaturen. Den använder också all given verifieringsinformation för valideringsändamål. Om valideringen lyckas signerar CA den offentliga nyckeln digitalt och skickar detta ifyllda certifikat till användaren.
Installera certifikatet på användarens dator

När verifieringen är klar måste användaren installera det på servern och notera dess destination. Användare bör också kopiera filen som mottagits från certifieringen och lagra certifikatets relevanta nycklar på en säker plats. Efter detta bör användarna publicera kopior av sina certifikat på webbplatser och i webbläsare för autentisering.

Certifikatdistribution

Certifikatdistribution sker när CA distribuerar certifikatet till användaren. Detta är en separat process eftersom den kräver administrativa åtgärder från CA. CA anger policyer som påverkar användningen av certifikatet i detta skede.

Även om CA Client Automation inte tillhandahåller någon automatiserad certifikatdistributionsteknik, levereras det med standardcertifikat för varje CA-klientautomatiseringsnod och applikationsspecifika certifikat. För att migrera från standardcertifikaten efter en installation, vilket var standardcertifikaten, bör certifikaten distribueras på följande sätt:

Skapa ett nytt rotcertifikat och se till att rotnamnet skiljer sig från det befintliga rotcertifikatet för CA Client Automation.
Schemalägg distributionen av detta nya rot-DER-kodade certifikat inom alla noder i CA Client Automation-infrastrukturen.
Skapa nya säkerhetsprofiler i CA Client Automation-hanteringsdatabasen för att ersätta befintliga profiler för ett applikationsspecifikt certifikat.
Schemalägg distributionen av nya certifikat till alla CA Client Automation-noder.
Efter att certifikatet har distribuerats måste de tidigare CA Client Automation-certifikaten raderas.
Ta bort de gamla säkerhetsprofilerna som används för de programspecifika certifikaten.

Validering av certifikat

När ett certifikat används kontrolleras certifikatets aktuella status för att verifiera om det fortfarande är giltigt. Det kan finnas vissa omständigheter, som kompromettering av privat nyckel eller CA, brott mot säkerhetspolicyer etc., som kan göra att ett certifikat blir ogiltigt eller återkallas före dess naturliga utgångsdatum. Här spelar CRL en viktig roll eftersom Certificate Revocation List (CRL) är listan över certifikat som återkallats av CA:n som tidigare utfärdats och är inställda på att löpa ut.

Utan CRL skulle PKI aldrig kunna identifiera om ett certifikat har återkallats innan det har löpt ut. CRL:n kontrolleras av RADIE på servern under denna process. En RADIUS-server avvisar bara en anslutningsbegäran om enhetens certifikatserienummer redan finns i CRL:n. Den här funktionen är fördelaktig om en enhet blir stulen, en anställds behörigheter ändras eller något liknande.

Återkallande av certifikat

Återkallelse av certifikat är det sista steget i ett certifikats livscykel. Denna fas inträffar när ett certifikat löper ut eller när CA återkallar certifikatet strax före utgångsdatumet. CA lägger automatiskt till ett certifikat i CRL:n när det återkallas, vilket instruerar RADIUS att inte längre autentisera det.

CRL:er kan vara uttömmande, och klienten som utför dessa kontroller måste gå igenom hela listan för att hitta den begärda webbplatsens certifikat, oavsett om det finns eller inte. En annan metod för att kontrollera återkallningsstatusen för ett digitalt certifikat är Online Certificate Status Protocol (OCSP). Det är enklare och snabbare än CRL:er eftersom certifikatkontrollen görs av CA snarare än PKI i CRL:er.

Med den här metoden kan klienten, istället för att ladda ner och analysera hela CRL-filen, skicka det valda certifikatet till CA:n, varpå CA:n returnerar certifikatets status, till exempel "Bra", "Återkallad", "Okänd" eller så vidare. Det innebär betydligt mindre omkostnader än CRL-metoden.

Certifikatförnyelse

Om en certifikatpolicy tillåter ett certifikat som redan har uppnått sitt utgångsdatum förnyas det antingen automatiskt eller genom användarens ingripande. När en förnyelseprocess ska startas måste användaren välja om de vill generera nya offentliga och privata nycklar eller återanvända de befintliga. Att generera nya nyckelpar ger en ny säkerhetsnivå, vilket bidrar till att minska risken för att nyckeln komprometteras över tid.

Förnyelseprocessen inkluderar även att generera en CSR. Denna CSR kommer att innehålla den information som krävs för att CA ska kunna utfärda det förnyade certifikatet, såsom den publika nyckeln, organisationsuppgifter och domännamn. CSR skickas sedan till CA, som i princip validerar begäran baserat på sina policyer och procedurer. När CA har slutfört valideringen utfärdar den det förnyade certifikatet.

Certifikatförstöring

När ett certifikat inte längre kan användas måste certifikatet och alla dess säkerhetskopior eller arkiv förstöras tillsammans med den tillhörande privata nyckeln. Detta bidrar till att säkerställa att certifikatet inte komprometteras eller används. Detta görs vanligtvis genom säkra digitala strimlingsmetoder eller fysisk förstöring av lagringsenheter, vilket säkerställer att inga rester av certifikatet kan återställas.

Processen bör noggrant dokumenteras och integreras med nyckelhanteringssystem (KMS) för att upprätthålla revisionsloggar, säkerställa efterlevnad av organisationens policyer och myndighetskrav och därigenom skydda mot obehörig användning av certifikatet.

Certifikatgranskning

Certifikatgranskning spårar skapande, utgång och återkallelse av certifikat. I vissa fall används det också för att spåra den framgångsrika användningen av ett certifikat. Denna omfattande process inkluderar att föra detaljerade register över certifikatutfärdande, såsom utfärdare, utfärdandedatum och syftet med certifikatet, vilket hjälper till att spåra dess livscykel och säkerställa ansvarsskyldighet.

Övervakning av utgångsdatum är avgörande för att möjliggöra snabba förnyelser, vilket förhindrar avbrott i tjänsten och upprätthåller kontinuerlig säkerhetstäckning. Loggning av återkallelser är avgörande för att förhindra användning av komprometterade eller föråldrade certifikat. Detta innebär att uppdatera CRL:er och säkerställa att system känner igen och avvisar återkallade certifikat för att minska säkerhetsriskerna.

Certifikatlivscykelhantering för SSL/TLS-certifikat

Hantering av certifikatlivscykeln är en av de viktigaste sakerna i korrekt PKI-hantering. Apple har ensidigt beslutat att endast lita på 398 dagars giltiga SSL- och TLS-certifikat, trots att branschen var enig om att avvisa förslaget. Denna förordning trädde i kraft den 1 september 2020 och påverkade endast nyutfärdade certifikat, eftersom befintliga certifikat inkluderades som undantag. Den genomsnittliga giltighetsperioden för alla certifikat, inklusive SSL/TLS, minskade från 2 till 5 år. Denna branschtrend med kortare certifikatlivscykler visade sig vara fördelaktig eftersom det är säkrare att byta ut certifikat oftare, oavsett om det är nödvändigt eller inte. Detta var fortfarande en förbättring jämfört med 90-dagarspolicyn för lösenordsersättning.

Slutsats

Kärnan i ett effektivt system för hantering av certifikatlivscykeln ligger i ett strikt hanteringsprogram för en organisation. Organisationer utan korrekt hantering av certifikatlivscykeln är benägna att stöta på säkerhets- och hanteringsproblem, och certifikat kan gå vilse i systemet, löpa ut och orsaka intäktsbortfall. För att en hantering av certifikatlivscykeln ska vara effektiv måste alla genererade certifikat konsolideras till ett enda system för hantering av maskinidentiteter.

Krypteringskonsulttjänster erbjuder en specialiserad lösning för hantering av certifikatlivscykeln, CertSecure-hanterare, från identifiering och inventering till utfärdande, driftsättning, förnyelse, återkallelse och rapportering. CertSecure erbjuder en heltäckande lösning. Intelligent rapportgenerering, aviseringar, automatisering, automatisk driftsättning på servrar och certifikatregistrering ger lager av sofistikering, vilket gör den till en mångsidig och intelligent tillgång.

Vad är certifikatlivscykelhantering?