SARS
Centrálna databáza so zálohou všetkých certifikátov
Nebojte se ztrát vydaných certifikátů při výpadku či selhání certifikační autority. Modul SaRS, základní prvek naší security a managementu pro PKI infrastrukturu organizace, uchovává všechny vydané certifikáty a v reálném čase je automaticky ukládá. Zároveň ukládá všechna jejich data a umožňuje rozsáhlý data mining.
Modul pro správu uživatelských certifikátů
Modul pro správu technologických certifikátů
Představte si situaci, kdy zhavaruje vaše certifikační autorita nebo server, na kterém provozujete PKI infrastrukturu. Technická porucha, hackerský útok, výpadek proudu… Můžete snadno přijít o veškerá data či údaje o vydaných certifikátech. Právě tento typ výpadků eliminuje Save and Recovery System (SaRS). Modul SaRS kompletně zálohuje všechny certifikáty tak, aby je bylo možné znovu obnovit a rychle zprovoznit. Navíc je to hlavní koncentrátor dat platformy ProID, nad kterým běží další aplikace.
Pravidelné systémové zálohy PKI nestačí
Ačkoliv budete používat pravidelné zálohování, nedokážete zabránit všem ztrátám dat při haváriích. Jestliže dojde k havárii certifikační autority, všechna data vygenerovaná od poslední zálohy budou ztracena.
Co se může stát, když nebudete mít v okamžiku výpadku modul SaRS?
- Nebudete vědět, které certifikáty byly vydány (chybějící certifikáty jsou používány, ale nelze je odvolat; CA může vydat certifikát s již použitým číslem – duplicita sériových čísel).
- Nebudete vědět, které certifikáty byly zneplatněny (odvolané certifikáty jsou opět platné).
- Nebudete vědět, které šifrovací klíče byly v CA zálohovány (zálohované šifrovací klíče jsou ztraceny).
- Nebudete vědět, které CRL (seznam odvolaných certifikátů) bylo vydáno.
Rychlá obnova dat
Při obnově dat certifikační autority je kritickým faktorem čas: CA vydává CRL na omezenou dobu platnosti. Pokud platnost CRL vyprší (a není vydáno nové CRL), jsou všechny certifikáty pokládané za nedůvěryhodné – aplikace, závislé na PKI přestanou fungovat. Pomocí systému SaRS lze obnovu dat CA významně urychlit a minimalizovat tak riziko vypršení platnosti CRL.
Modul SaRS v reálném čase zapisuje do SQL databáze změny v datech CA (vydání certifikátu, archivace šifrovacího klíče, zneplatnění certifikátu atd.).
Pokročilý data mining v reálném čase
Kromě evidence událostí či samotných záloh zaznamenává SaRS i kompletní data certifikátů, zálohované klíče a CRL. Tím umožňuje administrátorům v reálném čase vyhledávat a filtrovat všechny uložené informace.
Jedná se tedy o stěžejní funkcionalitu pro každou větší instalaci PKI infrastruktury a certifikačních autorit.
SaRS jako datová základna pro systémy správy certifikátů
Databáze SaRS je datovou základnou pro nadstavbové systémy správy certifikátů. Na jednom místě jsou shromážděny všechny certifikáty systému, s možností rychlého vyhledávání a filtrace.
Nad databází SaRS se vytvářejí reporty, ale také sofistikovanější služby, jako jsou:
- Notifikace blížící se expirace certifikátů
- Kontrola duplicit certifikátů
- Automatizovaná revokace certifikátů, na základě definovaných pravidel
- Doplnění metadat k vydaným certifikátům (např. kontaktní údaje správce serveru, který má být kontaktován v souvislosti s daným typem certifikátu)
- Ukládání informace o potvrzení převzetí certifikátu
Komponenty modulu SaRS
Database Exit Module (Exit.SaRS)
Modul, který je integrován do procesů CA a který monitoruje činnost CA, zapisuje data CA do SaRS DB a průběžně buduje evidenci SaRS.
SaRS Database (SaRS DB)
Databázové úložiště systému SaRS. Může být hostováno v libovolné běžné relační databázi (procesy SaRS do DB přistupují přes standardní rozhraní ODBC).
Restore Wizard (SaRS.RW)
Grafická aplikace pro obnovu dat CA po havárii. Detekuje stav CA a postupně doplňuje data z evidence SaRS do CA.
Výsledkem procesu RW je stav dat CA před výpadkem.
SaRS View (SaRS.View)
Aplikace s grafickým interface, pomocí níž lze prohlížet a konfigurovat evidenci v SaRS DB.
Backup synchronization (SaRS.BS)
Grafická aplikace, která na žádost obsluhy provede jednorázovou synchronizaci dat SQL databáze na základě dat v CA. (Např. v případě, že by Exit.SaRS nějakou dobu nebyl funkční anebo pro iniciální naplnění DB SaRS.) Zkontroluje, zda jsou v SaRS DB všechna data. Chybějící data jsou do SaRS DB doplněna. Data CA zůstávají beze změny.
SaRS Archived Key Service (SaRSArKS)
Služba (service), která ukládá do SQL databáze archivované klíče, pokud je na CA aktivována separace rolí. (Při zapnuté separaci rolí není Exit.SaRS schopen z CA přečíst archivované klíče, je nutno je do SQL databáze zapisovat externí službou).