Как лучше всего выдавать клиентские сертификаты клиентам? Должны ли мы запускать собственные службы сертификатов (мы на Win 2008 R2) и выпускать их таким образом? Есть ли центр сертификации, который выдаст их нам? Comodo будет выдавать клиентские сертификаты для электронной почты, но они нужны нам для того, чтобы наши клиенты могли получить доступ к нашему сайту (через браузер и API).
Профессиональный центр сертификации имеет больший опыт в обеспечении безопасности транзакций ЦС и может справиться с этим на стороне, за плату. Это может быть 10 долларов за сертификат, но он, скорее всего, может соответствовать государственным или коммерческим стандартам, применимым к регулируемым отраслям и общей передаче рисков (за пределы вашей компании).
Хотя 10 долларов за штуку могут быть пугающими, имейте в виду, что центр сертификации также возьмет на себя все надлежащие расходы, связанные с запуском настоящий CA
Работа с центрами сертификации может позволить вам запустить центр регистрации, который определяет, кто будет получать учетные данные, и передать наиболее болезненную часть центру сертификации в зависимости от конкретной модели этого центра сертификации.
Реализации PKI на базе Windows обычно небезопасны, содержат оперативные и легко взломанные PKI, что подвергает компании риску. Они редко используют HSM, и компрометация администратора домена может привести к полной компрометации PKI.
Стандартные цифровые сертификаты могут использоваться как для доступа к веб-сайтам, так и для входа в домены, шифрования электронной почты, подписей и физического входа, в зависимости от сертификата и идентификаторов объектов (OID). Цифровые сертификаты могут быть программными (уязвимыми для кражи) или аппаратными (более безопасными, но все же уязвимыми с помощью вредоносных атак MITM).
Многие компании столкнулись с тем же решением, что и вы сотрудничаете с поставщиком PKI, который будет консультировать. Но для этого есть несколько моделей.
Вы можете легко направить RFI нескольким различным CA и поставщикам PKI, чтобы определить их затраты и образцы реализаций, которые они выполнили для тех же требований, что и вы. С более подробным RFP вы можете провести подробное сравнение затрат на использование PKI-сервисов внутри вашей компании, на аутсорсинг или на гибрид.
Имея приведенные выше данные и зная основные компетенции вашей компании, вы готовы принять решение о том, следует ли вам делать это внутри компании, за ее пределами и с кем. Даже если вы решите оставаться внутренним, вы узнаете гораздо больше в процессе.