Uw informatie is net zo essentieel als al uw andere bedrijfsmiddelen. Het toevoegen van extra beveiligingslagen aan uw meest waardevolle systemen en gegevens is niet langer slechts een optie maar een noodzaak. Met PKI kunt u dankzij geavanceerde authenticatie- en versleutelingsmethoden de risico's voor uw netwerk verminderen.
PKI (public key infrastructure) is een systeem van processen, technologieën en beleidsregels waarmee u gegevens kunt versleutelen en ondertekenen. U kunt het gebruiken voor het uitgeven van digitale certificaten voor het authenticeren van gebruikers, apparaten en services. Deze certificaten beveiligen de verbinding met zowel openbare webpagina's als privésystemen, zoals uw VPN, intern Wi-Fi-netwerk, wiki-pagina's en andere services die MFA ondersteunen. Hebt u vragen?
Met een interne PKI kunt u uw eigen persoonlijke SSL-certificaten uitgeven met een unieke tussenliggende root, die meestal wordt onderhouden door een openbaar vertrouwde certificeringsinstantie. Zo kunt u certificaten inrichten op basis van specifieke vereisten
en ze naar behoefte implementeren voor interne doeleinden.
Een schaalbare PKI in vijf stappen
Interviewreeks: Het bouwen van een schaalbare PKI
Dé beveiligingsoplossing voor het Internet of Things
PKI (public key infrastructure) is een systeem van processen, technologieën en beleidsregels waarmee u gegevens kunt versleutelen en/of ondertekenen. Met PKI kunt u digitale certificaten uitgeven voor het authenticeren van gebruikers, apparaten en services. Deze certificaten zijn geschikt voor zowel openbare webpagina's als interne privéservices (zoals de authenticatie van apparaten die verbinding willen maken met uw VPN, wiki, Wi-Fi enzovoort).
Met Public key infrastructure (PKI) kunt u de beveiliging van uw netwerk aanmerkelijk verbeteren. Dit is mogelijk dankzij drie belangrijke voordelen:
Veelvoorkomende gebruiksscenario's voor PKI zijn onder andere:
End-to-end versleuteling vindt plaats wanneer een bericht wordt versleuteld op het apparaat van de afzender en de ontsleuteling gebeurt op het apparaat van de ontvanger. Daardoor kan een derde partij de vertrouwelijke gegevens niet onderscheppen.
Een certificeringsinstantie (CA) is een vertrouwde derde die de identiteit verifieert van een organisatie die een digitaal certificaat aanvraagt. Nadat de identiteit is geverifieerd, geeft de certificeringsinstantie het certificaat uit en wordt de identiteit van de organisatie gekoppeld aan een openbare sleutel. Een digitaal certificaat kan worden vertrouwd omdat het zich in een keten bevindt die terugleidt naar het root-certificaat van de certificeringsinstantie.
Een digitaal certificaat is het bewijs van de identiteit van de houder. Net zoals een rijbewijs is het certificaat uitgegeven door een vertrouwde derde, kan het niet worden nagemaakt en bevat het identificerende informatie.
Openbare en persoonlijke sleutels worden gebruikt voor het versleutelen en ontsleutelen van informatie. Informatie die is versleuteld met de openbare sleutel kan alleen worden ontsleuteld met de persoonlijke sleutel. Dit sleutelpaar wordt ook wel asymmetrische cryptografie genoemd, omdat de versleuteling wordt gedaan met twee niet-identieke sleutels. De twee sleutels zijn mathematisch verwant, maar het is onmogelijk om de ene sleutel af te leiden op basis van de andere.
Een root-certificaat levert de ondertekening voor het koppelen van een identiteit aan de openbare sleutel. Aan de hand daarvan bepaalt u of een certificaat geldig is en of u het kunt vertrouwen.
Het korte antwoord: ja. DigiCert biedt oplossingen voor zowel openbare als interne PKI met een platform en RESTful API. Daarmee kunt u certificaatbeheer automatiseren en PKI-workflows aanpassen. Mogelijk hebt u tot nu toe alleen met een commerciële certificeringsinstantie te maken gehad bij het aanschaffen van openbare SSL-certificaten. In dat geval denkt u wellicht dat persoonlijke certificaten ongeveer evenveel kosten als openbare certificaten. Maar dat is niet zo. De kosten voor het uitgeven van een persoonlijk digitaal certificaat met DigiCert bedragen slechts een fractie van de kosten voor een openbaar certificaat.
Beveiligingsmensen en beheerders denken nog wel eens dat ze met een zelf gehoste interne PKI over een beperkt aantal certificaatprofielen kunnen beschikken. Of ze zijn bang dat ze alleen certificaatprofielen kunnen gebruiken die zijn goedgekeurd door het CA/Browser Forum. Met DigiCert kunt u echter beschikken over elk certificaat dat u wilt. De certificaatprofielen hoeven geen SSL/TSL-certificaatprofielen te zijn en hoeven zelfs geen X.509 te zijn.
Managed PKI (MPKI) is een oplossing die wordt geleverd door een certificeringsinstantie (CA), waarmee u certificaatprocessen kunt automatiseren en PKI-workflows kunt aanpassen. Wanneer uw organisatie op het punt komt dat er veel certificaten nodig zijn, biedt het vereenvoudigde certificaatbeheer van een MPKI-oplossing veel voordelen.
U kunt uw interne services (zoals VPN, wiki, Wi-Fi enz.) beveiligen met een interne certificeringsinstantie. Veel organisaties doen dit met Microsoft CA. Maar het bouwen en onderhouden van een interne CA kan duur en tijdrovend zijn. Kijk goed naar de kosten van beide opties voordat u een beslissing neemt. Veel certificeringsinstanties bieden gehoste oplossingen waarmee u de kosten uitspaart voor de hardware, software en mensen die u nodig zou hebben voor het opzetten van een interne PKI.
Een certificaatbeleid (certificate policy of CP) is een document waarin de verschillende actoren van een PKI worden geïdentificeerd, alsmede hun rollen en verantwoordelijkheden. Het certificaatbeleid schrijft voor hoe certificaten mogen worden gebruikt, hoe de namen van certificaten worden gekozen, hoe de sleutels worden gegenereerd en nog veel meer. De relevante CP staat meestal vermeld in een veld in het X.509-certificaat. Raadpleeg voor informatie over certificaatbeleid het actueelste referentiedocument (RFC 3647): https://tools.ietf.org/html/rfc3647
Sleutelopslag, ook wel sleutelarchivering genoemd, is het veilig opslaan van uw persoonlijke sleutel voor het geval u die niet meer weet. Om te voldoen aan FIPS en het strengste beveiligingsniveau te garanderen, raden we aan uw sleutels op te slaan met behulp van een HSM (Hardware Security Module).
Een HSM is een cryptografische, hardwarematige optie voor het veilig opslaan van sleutels. Meestal bevindt een HSM zich intern en wordt deze onderhouden door een medewerker van de organisatie. Dit kan prijzig zijn, maar er zijn ook goedkopere oplossingen. Zo biedt de Microsoft Azure Key Vault veilige sleutelopslag in de cloud-HSM van Microsoft. Als uw organisatie niet zo groot is en/of u niet de middelen hebt om uw eigen HSM te kopen en onderhouden, is Microsoft Azure Key Vault een goede oplossing. Sommige openbare certificeringsinstanties, waaronder DigiCert, bieden integratie met Microsoft Azure.
Om te beginnen moet u beoordelen wat uw behoeften zijn en met welke technologie u gaat werken. Wij adviseren de volgende vijf stappen als eerste te doen:
Als u hulp nodig hebt, kunt u contact opnemen met een van onze PKI-architecten door een e-mail te sturen naar enterprise@digicert.com.