Management digitálních certifikátů

OCSP – Online seznam odvolaných certifikátů

Získejte absolutní přehled o všech odvolaných certifikátech, a to v reálném čase, bez prodlev. OCSP (Online Certificate Status Protocol) je modul pro zjišťování stavu odvolání certifikátů. Díky němu v reálném čase zjistíte aktuální stav uvnitř celé organizace.

Modul pro správu uživatelských certifikátů

Modul pro správu technologických certifikátů

Okamžitý přehled o stavu digitálních certifikátů

Pro správce PKI infrastruktury organizace je životně důležité mít vždy přehled o platnosti certifikátů – ty totiž mají omezenou dobu použití. Stejně tak však sami často odvolávají certifikáty, které chtějí zneplatnit. Problém je, že certifikační autority informace o platnosti certifikátů publikují opožděně (v tzv. CRL – Certificate Revocation List). Modul OCSP tento statický list nahrazuje a předává informace o odvolaných certifikátech ve stavu, v jakém jsou v daném okamžiku – bez zpoždění a tedy s nulovou chybovostí.

PRO ŘEŠENÍ JAKÝCH PROBLÉMŮ JSME MODUL VYVINULI?

Bez modulu OCSP se v případě expirace certifikátu o tom správce dozví až zpětně na základě vydaného CRL
Je pro ně také těžké určit, kterým certifikátům hrozí expirace a mají být obnoveny.
Stejně tak je v případě záměrného odvolání certifikátu správcem nemožné v reálném čase zjistit, zda byl skutečně odvolán.
Modul OCSP výrazně zjednodušuje tyto činnosti a šetří tak obrovské množství času na správu životního cyklu certifikátů.

Certificate Lifecycle Management v reálném čase

Představte si organizaci, která vydává a spravuje velké množství certifikátů. A zároveň pracuje s certifikáty vydanými externími certifikačními autoritami. Elektronické podpisy, oprávnění k přístupům do prostor či do webových služeb a další.

Pokud správci sítě chtějí zjistit aktuální stav (či platnost) těchto certifikátů, musí standardně používat CRL – soubor vydávaný certifikačními autoritami. Tento soubor je však vydáván dávkově (např. 1x týdně) a navíc v nečitelném, binárním formátu.

Náš modul OCSP řeší tyto problémy a dává správcům možnost jednoduše a rychle zjistit stav konkrétního certifikátu.

Správa certifikátů a ProID OCSP server

ProID OCSP je server, který publikuje informace o certifikátech na základě SQL databáze. V databázi jsou uloženy informace o certifikátech, včetně stavu odvolání. Na dotaz klienta OCSP server v databázi vyhledá stav odvolání příslušných certifikátů, podepíše odpověď klíčem a certifikátem a odešle informaci klientovi.

OCSP protokol je standardizován. Dodržování standardů je zárukou interoperability mezi serverem a klienty, přičemž každá z komunikujících stran může být implementována jiným dodavatelem.

Datovým zdrojem informací o certifikátech je pro ProID OCSP typicky databáze systému SaRS (Save and Recovery System). ProID OCSP však lze provozovat i nad jinou databází, pokud databáze obsahuje potřebné údaje.

Lze jej provozovat i mimo prostředí domény a bez vazby na certifikační službu MS Windows Serveru. Jedinou komponentou, která je pro fungování nezbytná je SQL databáze s informacemi o certifikátech.

Kompatibilita a škálovatelnost OSCP

OCSP je implementován s vlastnostmi, které zajišťují vysokou míru kompatibility s běžně používanými OCSP klienty. Je použitelný jak v malých organizacích s malým počtem vydaných certifikátů, tak ve velkých organizacích s velkým množstvím certifikátů a systémů. ProID OCSP je postaven na robustním základu s vysokou propustností dotazů.

V případě instalace do prostředí s velkým zatížením dotazů lze plugin škálovat. Pokud by jedna instance OCSP byla saturována dotazy, lze instalovat druhou instanci a rozložit zátěž mezi ně.

Princip fungování ProID OCSP serveru

OCSP zpracovává jednotlivé klientské požadavky jako webové služby: paralelně a nezávisle. Oddělené zpracování požadavků je řízeno prostředky webového serveru, ve kterém je služba hostována. Informace o stavu certifikátu se zjišťují v SQL databázi. Jakmile jsou dohledány databázové identifikátory pro všechny certifikáty v klientském požadavku, OCSP server postupně v datovém zdroji zjišťuje stav jednotlivých certifikátů.

Výsledkem dohledání informací o stavu certifikátů je doplněná datová struktura. Zjištěné rozdíly se automaticky zapisují do žurnálu činnosti.