红帽全球峰会第 5 章 规划证书系统
每个 Red Hat Certificate System 子系统可以安装在同一服务器计算机上,安装在独立的服务器上,或者将多个实例安装到一个机构中。在安装任何子系统之前,务必要规划部署:您需要的 PKI 服务?网络要求是什么?哪些人需要访问证书系统、角色是什么及其物理位置?您需要发布哪些类型的证书,以及为它们设置哪些限制或规则?
本章介绍了规划证书系统部署的一些基本问题。其中很多决策是相互相关的;一个选择会影响另一个选择,例如决定是否使用智能卡来确定是否安装 TPS 和 TKS 子系统。
5.1. 决定所需的子系统
证书系统子系统涵盖了管理证书的不同方面。规划要安装的子系统是定义部署需要执行的 PKI 操作的一种方式。
证书(如软件或设备)具有定义阶段的生命周期。最基本的是,有三个步骤:
- 它被请求并发布。
- 它有效。
- 它过期。
但是,这个简化的场景不包括与证书相关的很多常见问题:
- 如果员工在证书过期前离开公司怎么办?
- 当 CA 签名证书过期时,使用该证书发布并签名的证书也会过期。那么将续订 CA 签名证书,允许其发布的证书保持有效,或者将重新发布?
- 如果员工丢失了智能卡或将其留在家,则怎么办。使用原始证书密钥发布替换证书吗?其他证书是否被暂停或撤销?允许临时证书?
- 当证书过期时,将发布新证书,或将续订原始证书?
这介绍了三个管理证书的注意事项:撤销、续订和替换。
其他注意事项是在证书颁发机构上加载的。有很多颁发或续订请求?是否有很多来自客户端的流量来验证证书是否有效?请求证书的人员应该如何验证其身份,这个过程是否减慢了问题过程?
5.1.1. 使用单个证书管理器
证书系统 PKI 的核心是证书管理器(证书颁发机构)。CA 接收证书请求并发布所有证书。
图 5.1. 仅 CA 证书系统
请求和发布证书的所有基本处理都可以由证书管理器处理,它是唯一的子系统。根据机构的需求,可以有单个证书管理器或多个证书管理器安排许多不同的关系。
除了发布证书外,证书管理器也可以撤销证书。管理员的一个问题是,如果证书丢失、被破坏,或者他们要发出的人员或设备离开公司时,如何处理证书。撤销证书在过期日期之前无效,并且已撤销的证书列表由发出 CA 编译并发布,以便客户端能够验证证书状态。
5.1.2. 为丢失的密钥规划:密钥归档和恢复
虽然 CA 无法执行一个操作,但是密钥归档和恢复。一个非常实际的场景是,用户将丢失其私钥 - 例如,可以从浏览器数据库中删除密钥,或者智能卡可以保留在家里。许多常见业务操作使用加密数据,如加密电子邮件,并丢失解锁数据的密钥意味着数据本身会丢失。根据公司的策略,可能需要恢复密钥以重新生成或重新导入替换证书,并且两个操作都需要私钥。
这需要一个 KRA,该子系统专门存档和检索密钥。
图 5.2. CA 和 KRA
Key Recovery Authority 存储加密密钥(密钥归档),并可以检索这些密钥,以便 CA 可以重新发布证书(密钥恢复)。KRA 可以为证书系统生成的任何证书存储密钥,无论是针对常规证书还是注册智能卡。
关键归档和恢复过程在 第 2.4.5 节 “归档、恢复和轮转密钥” 中进行了更详细的说明。
KRA 仅用于归档和恢复私钥。因此,最终用户必须使用支持双密钥生成的浏览器来存储其公钥对。
5.1.3. 平衡证书请求处理
子系统如何协同工作的另一个方面是负载平衡。如果站点有高流量,那么可以简单地安装大量 CA,作为彼此的克隆或扁平层次结构(每个 CA 独立)或树形层次结构(其中某些 CA 是从属的,其中某些 CA 是从属的),这在 第 5.2 节 “定义证书颁发机构层次结构” 中进行了更多介绍。
5.1.4. 平衡客户端 OCSP 请求
如果证书在有效期内,但需要无效,则可以撤销证书。证书管理器可以发布已撤销证书的列表,以便在客户端需要验证证书是否仍然有效时,它可以检查列表。这些请求 是在线证书状态协议请求,这意味着它们具有特定请求和响应格式。证书管理器有一个内置 OCSP 响应程序,以便它可以自行验证 OCSP 请求。
但是,与证书请求流量一样,站点可能会具有大量客户端请求来验证证书状态。示例 Corp. 有一个大型的 Web 存储,每个客户的浏览器都试图验证其 SSL/TLS 证书的有效性。同样,CA 可以处理发布证书数量,但高请求流量会影响到其性能。在这种情况下,Example Corp. 使用外部 OCSP Manager 子系统来验证证书状态,证书管理器只需要每次都发布更新的 CRL。
图 5.3. CA 和 OCSP
5.1.5. 使用智能卡
智能卡通常需要个人注册和批准流程,因为它们使用物理介质存储密钥和证书数据。这意味着多个代理需要访问不同的办公室或地理位置的 TPS 子系统。
令牌管理系统非常可扩展。可将多个 TPS 配置为处理单个 CA、TKS 或 KRA 实例,而多个企业安全客户端可以与单个 TPS 通信。随着其他客户端被安装,他们可以重新指向 TPS 实例,而无需重新配置 TPS;同样,由于添加了 TPS,他们可以指向同一 CA、TKS 和 KRA 实例,而无需重新配置这些子系统。
安装后,可以编辑 TPS 配置以使用额外的 CA、KRA 和 TKS 实例来实现故障转移支持,因此如果主子系统不可用,则 TPS 可以在不中断其令牌服务的情况下切换到下一个可用的系统。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}