什么是PKI？

PKI是公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure）的縮寫，是一個管理數(shù)字證書頒發(fā)的機制，它是能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必須的密鑰和證書管理體系。TLS/SSL證書主要使用PKI在客戶端和服務(wù)器之間建立安全連接，也用于對IoT設(shè)備進行身份驗證。PKI還可采用公鑰和私鑰的非對稱加密實現(xiàn)保護端到端通信加密。

什么是PKI管理？

與早期相比，PKI的管理變得越來越復(fù)雜。隨著數(shù)字證書的數(shù)量呈指數(shù)級增長，如果PKI因管理不當(dāng)而犯下的錯誤極有可能會導(dǎo)致數(shù)據(jù)泄露。所以，顧名思義，PKI管理是管理并處理公鑰基礎(chǔ)設(shè)施所涉及的眾多任務(wù)和職責(zé)的有效方法。PKI管理包括管理數(shù)字證書和密鑰、CA、HSM等等。因此，PKI管理在現(xiàn)在的應(yīng)用場景中需要很多專業(yè)知識，這也給IT團隊帶來了比以往任何時候更大的壓力。

常見的PKI管理錯誤

基于PKI的數(shù)字證書給企業(yè)用戶、終端設(shè)備、應(yīng)用程序等提供了非常大的便利性和更高的安全性。然而，PKI證書的強大程度取決于其背后的流程和工具。與其他安全協(xié)議一樣，PKI管理不當(dāng)會導(dǎo)致各種各樣的錯誤。這就為不同的故障、中斷和威脅創(chuàng)造了漏洞入口。當(dāng)不遵循PKI最佳實踐時，將會給系統(tǒng)帶來一些不安全風(fēng)險。以下是常見的PKI管理錯誤：

缺乏加密敏捷性

加密敏捷性是在不大幅度改變系安全統(tǒng)基礎(chǔ)設(shè)施的情況下快速適應(yīng)新加密算法的能力。 這個過程與公鑰基礎(chǔ)設(shè)施發(fā)展一樣重要，因為威脅也在不斷地演變。因此，不管何時在系統(tǒng)中發(fā)現(xiàn)漏洞，PKI都能通過更新所有的加密機制來盡快解決它。如果這個過程沒有缺乏加密敏捷性，此漏洞將可能被利用。

缺乏自動化管理

由于系統(tǒng)中存儲了數(shù)千個證書，證書管理員無法有效地管理每個證書。當(dāng)這些證書增加到一定數(shù)量時，依靠電子表格或郵件通知管理證書有效期極易使企業(yè)遭受到災(zāi)難性服務(wù)中斷。因為不當(dāng)?shù)淖C書管理方式很難在證書到期前發(fā)現(xiàn)并更新每張證書。此外，依賴手動管理PKI極大地增加了出錯概率，且所涉及的工作量也是非常大的。所以，企業(yè)不能簡單地依靠手動管理PKI更新，相反，自動化管理PKI能有助于提高效率并減少人為錯誤。

私有CA證書使用不當(dāng)

為了節(jié)省時間或成本，一些企業(yè)選擇自建CA為自己頒發(fā)證書，而不是通過第三方CA機構(gòu)獲取數(shù)字證書。私有CA簽發(fā)的證書通常用于內(nèi)部環(huán)境使用，如果在互聯(lián)網(wǎng)環(huán)境中，請使用可信CA簽發(fā)的PKI證書。此外，企業(yè)自簽發(fā)證書通常沒有進行集中管理，還常存儲在內(nèi)部容易受到攻擊的地方。

很多企業(yè)在管理PKI時都會遇到上述的常見問題。為避免這些PKI管理錯誤，您可遵循以下PKI最佳安全實踐：

PKI最佳安全實踐

精心設(shè)計

在實施PKI之前，企業(yè)應(yīng)精心設(shè)計、合理規(guī)劃，使PKI易于管理、且又不易受攻擊影響。此外還需要考慮證書現(xiàn)在及之后的用途，選用哪個CA機構(gòu)頒發(fā)證書，是部署本地化PKI還是云端PKI。最重要的是，如果企業(yè)沒有具備構(gòu)建基礎(chǔ)架構(gòu)專業(yè)知識的內(nèi)部員工，請找專業(yè)人士，而不是在PKI設(shè)計上妥協(xié)。

更新最新安全協(xié)議

隨時更新至最新的安全補丁和協(xié)議。為確保安全，請隨時保證您的PKI處于最新版本狀態(tài)。

安全審計

由于證書數(shù)量呈指數(shù)增長，企業(yè)必須維護、追蹤每一張數(shù)字證書。首先需要審計IT生態(tài)系統(tǒng)，定期全面地監(jiān)控數(shù)字證書，確保過期證書不會導(dǎo)致災(zāi)難性問題。

安全存儲

根證書私鑰和簽發(fā)證書機構(gòu)是PKI的核心，對安全性要求最高。PKI最佳實踐要求將它們存儲在硬件安全模塊（HSM），使其獲得最大的保護。即時不存儲在HSM中，也不建議將它們存放在連接到網(wǎng)絡(luò)的設(shè)備上。

自動化管理

依靠自動化管理方式頒發(fā)、撤銷和更新數(shù)字證書，使這些關(guān)鍵流程免受人為錯誤的影響，同時確保它們能適應(yīng)現(xiàn)代企業(yè)所需的速度和規(guī)模而運行。自動化PKI管理解決方案還可以減少管理證書和密鑰所需的預(yù)算和人員。

定期檢測

PKI并不是一直處于靜止不動的狀態(tài)。最佳實踐建議定期檢測、更換證書和密鑰。這需要有一個自動化的系統(tǒng)，可用來自動吊銷、更新過期或過時的證書，以免企業(yè)遭受攻擊風(fēng)險。

最佳PKI解決方案

當(dāng)您了解了應(yīng)該遵循哪些最佳實踐——以及可能會出現(xiàn)哪些問題時，接下來就該全面地執(zhí)行起來。

銳成PKI管理解決方案基于數(shù)字證書的安全基礎(chǔ)設(shè)施，支持多業(yè)務(wù)多應(yīng)用，將專業(yè)、復(fù)雜的數(shù)字證書管理，身份認證等安全功能服務(wù)化，從而使客戶將更多精力集中在自身業(yè)務(wù)及業(yè)務(wù)安全需求方面。更多關(guān)于PKI管理問題請詳詢在線客服。