Management digitálních certifikátů
OCSP – Online seznam odvolaných certifikátů
Získejte absolutní přehled o všech odvolaných certifikátech, a to v reálném čase, bez prodlev. OCSP (Online Certificate Status Protocol) je modul pro zjišťování stavu odvolání certifikátů. Díky němu v reálném čase zjistíte aktuální stav uvnitř celé organizace.
Modul pro správu uživatelských certifikátů
Modul pro správu technologických certifikátů
Okamžitý přehled o stavu digitálních certifikátů
Pro správce PKI infrastruktury organizace je životně důležité mít vždy přehled o platnosti certifikátů – ty totiž mají omezenou dobu použití. Stejně tak však sami často odvolávají certifikáty, které chtějí zneplatnit. Problém je, že certifikační autority informace o platnosti certifikátů publikují opožděně (v tzv. CRL – Certificate Revocation List). Modul OCSP tento statický list nahrazuje a předává informace o odvolaných certifikátech ve stavu, v jakém jsou v daném okamžiku – bez zpoždění a tedy s nulovou chybovostí.
PRO ŘEŠENÍ JAKÝCH PROBLÉMŮ JSME MODUL VYVINULI?
- Bez modulu OCSP se v případě expirace certifikátu o tom správce dozví až zpětně na základě vydaného CRL
- Je pro ně také těžké určit, kterým certifikátům hrozí expirace a mají být obnoveny.
- Stejně tak je v případě záměrného odvolání certifikátu správcem nemožné v reálném čase zjistit, zda byl skutečně odvolán.
- Modul OCSP výrazně zjednodušuje tyto činnosti a šetří tak obrovské množství času na správu životního cyklu certifikátů.
Certificate Lifecycle Management v reálném čase
Představte si organizaci, která vydává a spravuje velké množství certifikátů. A zároveň pracuje s certifikáty vydanými externími certifikačními autoritami. Elektronické podpisy, oprávnění k přístupům do prostor či do webových služeb a další.
Pokud správci sítě chtějí zjistit aktuální stav (či platnost) těchto certifikátů, musí standardně používat CRL – soubor vydávaný certifikačními autoritami. Tento soubor je však vydáván dávkově (např. 1x týdně) a navíc v nečitelném, binárním formátu.
Náš modul OCSP řeší tyto problémy a dává správcům možnost jednoduše a rychle zjistit stav konkrétního certifikátu.
Správa certifikátů a ProID OCSP server
ProID OCSP je server, který publikuje informace o certifikátech na základě SQL databáze. V databázi jsou uloženy informace o certifikátech, včetně stavu odvolání. Na dotaz klienta OCSP server v databázi vyhledá stav odvolání příslušných certifikátů, podepíše odpověď klíčem a certifikátem a odešle informaci klientovi.
OCSP protokol je standardizován. Dodržování standardů je zárukou interoperability mezi serverem a klienty, přičemž každá z komunikujících stran může být implementována jiným dodavatelem.
Datovým zdrojem informací o certifikátech je pro ProID OCSP typicky databáze systému SaRS (Save and Recovery System). ProID OCSP však lze provozovat i nad jinou databází, pokud databáze obsahuje potřebné údaje.
Lze jej provozovat i mimo prostředí domény a bez vazby na certifikační službu MS Windows Serveru. Jedinou komponentou, která je pro fungování nezbytná je SQL databáze s informacemi o certifikátech.
Kompatibilita a škálovatelnost OSCP
OCSP je implementován s vlastnostmi, které zajišťují vysokou míru kompatibility s běžně používanými OCSP klienty. Je použitelný jak v malých organizacích s malým počtem vydaných certifikátů, tak ve velkých organizacích s velkým množstvím certifikátů a systémů. ProID OCSP je postaven na robustním základu s vysokou propustností dotazů.
V případě instalace do prostředí s velkým zatížením dotazů lze plugin škálovat. Pokud by jedna instance OCSP byla saturována dotazy, lze instalovat druhou instanci a rozložit zátěž mezi ně.
Princip fungování ProID OCSP serveru
OCSP zpracovává jednotlivé klientské požadavky jako webové služby: paralelně a nezávisle. Oddělené zpracování požadavků je řízeno prostředky webového serveru, ve kterém je služba hostována. Informace o stavu certifikátu se zjišťují v SQL databázi. Jakmile jsou dohledány databázové identifikátory pro všechny certifikáty v klientském požadavku, OCSP server postupně v datovém zdroji zjišťuje stav jednotlivých certifikátů.
Výsledkem dohledání informací o stavu certifikátů je doplněná datová struktura. Zjištěné rozdíly se automaticky zapisují do žurnálu činnosti.
Zaujalo vás naše řešení? Kontaktujte nás
