Gestión de certificados E2E con Keyfactor y EJBCA

El concepto de gestión de identidades de máquinas se ha disparado en el último año, y por una buena razón. Las organizaciones tienen ahora más elementos como claves criptográficas, certificados X.509 y otras credenciales que necesitan gestionar para establecer la confianza digital entre identidades y máquinas, incluidos los dispositivos IoT , máquinas virtuales, contenedores, etc.

De hecho, la gestión de identidades de máquinas se ha vuelto tan importante que ha entrado en la lista de lista de Gartner de las principales tendencias en seguridad y riesgos para 2021. En concreto, Gartner ha advertido de que la gestión de identidades de máquinas debe ser un foco de atención a medida que las organizaciones continúan ampliando sus certificados digitales, señalando que las organizaciones que utilizan herramientas de gestión de certificados X.509 pueden reducir las interrupciones relacionadas con los certificados en un 90 y reducir a la mitad el tiempo dedicado a la gestión de estos problemas.

Teniendo en cuenta esta importancia, ¿qué medidas puede adoptar su organización? Nos sentamos con Eric Mizell, Vicepresidente de Ingeniería de Keyfactor, y Alex Gregory, Vicepresidente de Productos de Mercado de Keyfactor, para determinar qué se necesita para lograr una gestión de certificados de extremo a extremo con Keyfactor Command y PrimeKey EJBCA.

He aquí lo más destacado de nuestro debate.

Antes de profundizar en cómo exactamente Keyfactor y PrimeKey pueden apoyar la gestión de certificados de extremo a extremo, es esencial entender por qué esta combinación está en una posición única para resolver este problema. La respuesta a esta pregunta se reduce a una combinación de capacidades de plataforma y experiencia en la materia.

Keyfactor y PrimeKey se fusionaron en el verano de 2021, uniendo soluciones completas y altamente escalables para la gestión de identidades de máquinas (cubriendo todo, desde claves SSH a SSL y certificados TLS ) y PKI empresarial. Esta combinación crea una plataforma integral con las mejores capacidades de gestión y automatización de su clase. de gestión y automatización que puede emitir certificados a escala.

Al mismo tiempo, los equipos combinados de Keyfactor y PrimeKey aportan más de 20 años de experiencia en este ámbito. Keyfactor lleva más de dos décadas liderando iniciativas de consultoría PKI, mientras que PrimeKey cuenta con open-source PKI y CA, líderes del mercado, desde 2001. Esta experiencia posiciona al equipo conjunto para apoyar a los equipos de seguridad de las empresas y a los equipos de IoT que se ocupan de la seguridad durante los procesos de fabricación y producción.

EJBCA es una autoridad de certificación escalable y de gran potencia. Admite jerarquías PKI ilimitadas por servidor, lo que significa que la única razón por la que necesita añadir más servidores es para aumentar la huella de su PKI. 

Y hacerlo es fácil: basta con añadir nodos EJBCA detrás de un equilibrador de carga en una base de datos de alta disponibilidad con una buena configuración HSM para conseguir una escala realmente increíble en lo que respecta a la emisión de certificados.

Igualmente importante es que EJBCA es fácil de consumir, con tres opciones diferentes en función de sus necesidades: 

• • EJBCA SaaS: El equipo de PrimeKey y Keyfactor aloja, gestiona y opera todo por usted. Este enfoque le ofrece toda la potencia de EJBCA, lo que le permite configurarlo todo, desde las claves y las CA hasta los nombres y perfiles y todo lo demás dentro de EJBCA , todo ello sin tener que preocuparse de nada de la infraestructura.
  • EJBCA En la nube: Se ofrece como una suscripción a través del mercado de AWS o Microsoft Azure que ejecuta EJBCA a través de una máquina virtual en su entorno. Este enfoque le ofrece todo el conocimiento preconfigurado de lo que se necesita para empaquetar EJBCA , de modo que pueda escalarlo, arquitecturarlo, construirlo y parchearlo según sea necesario para controlar todos los aspectos de su PKI.
  • Software cliente: Preempaqueta EJBCA en una máquina virtual que puede ejecutar in situ o en hardware appliance , que cuenta con un HSM integrado preconfigurado por PrimeKey.

Una vez que empiece a crear certificados, necesitará gestionarlos durante todo su ciclo de vida, que es donde entra en juego Keyfactor Command .

Keyfactor Command admite la automatización del ciclo de vida de los certificados, proporcionando la visibilidad necesaria para identificar todos los certificados de su entorno y mantener un inventario de las CA, los almacenes de certificados, los servidores de aplicaciones, etcétera. Esta visibilidad puede respaldar las evaluaciones de riesgos, como la comprensión de los certificados que están a punto de caducar y las debilidades potenciales que existen en torno a los certificados autofirmados. Keyfactor Command también le permite crear alertas para determinados puntos de riesgo, como cuando los certificados están a punto de caducar y deben renovarse para evitar una interrupción.

Keyfactor Command lo soporta todo, desde la inscripción automática de certificados hasta el aprovisionamiento automático de servidores de aplicaciones, equilibradores de carga, cortafuegos y mucho más. KeyfactorLa automatización de los certificados evita procesos propensos a errores y la situación demasiado común en la que los equipos de seguridad pasan por alto un servidor al renovar estos certificados.

Es importante destacar que Keyfactor Command también cuenta con sólidos puntos de integración API en cualquier CA. Estas integraciones proporcionan un inventario en tiempo real de todos los certificados que existen en un entorno y admiten funciones como la inscripción, la revocación y el aprovisionamiento automático de certificados. En particular, lo hace todo a través de una interfaz para crear un único punto de visibilidad y gestión.

La integración de Keyfactor Command y EJBCA ofrece numerosas ventajas. Ayuda a simplificar PKI haciendo que los programas sean altamente escalables y automatiza todo el proceso de gestión para apoyar la agilidad criptográfica. También proporciona niveles de visibilidad sin precedentes al permitirle vincularse a cualquier número de CA públicas y privadas y reduce el riesgo al ayudar a toda su organización (incluidos los equipos DevOps) a moverse rápidamente de forma segura.

Veamos exactamente cómo funciona todo esto.

Para empezar, supongamos que tiene varias jerarquías PKI en EJBCA y que su CA raíz, incluido su token criptográfico, está fuera de línea. Esto significa que esas claves se almacenarán en su HSM. Puede acceder a esas claves para utilizarlas para firmar introduciendo su contraseña en el HSM. 

Una vez que tengas acceso a las claves, podrás utilizarlas para firmar. En este caso, vamos a añadir una CA llamada "Keyfactor Webinar Issuing CA". Tenemos muchas formas diferentes de firmar esa CA: Podemos crear una CA autofirmada (que normalmente no es algo que quieras hacer), usar una CA externa (que normalmente es lo mejor para CAs raíz offline), o puedes usar una CA raíz para tu PKI (que es lo que haremos para este ejemplo).

Antes de firmar la CA, tenemos que establecer algunos parámetros. En primer lugar, hagámosla "activa" como CA emisora durante 15 años. A continuación, tenemos que configurar una CRL. En este caso, haremos una CRL de tres días con un solapamiento de un día, lo que nos permite tener varias CRL diferentes en vuelo y, al mismo tiempo, controlar exactamente cuántas están activas.

Una vez configurados estos parámetros, al hacer clic en "crear" en la plataforma, la CA raíz firmará la nueva CA emisora, lo que nos dará una nueva jerarquía de PKI. 

Este proceso sólo tarda unos segundos, y una vez creada la nueva CA emisora, ya no necesitamos la CA raíz en línea. Como mejor práctica, siempre debes mantener la CA raíz fuera de línea a menos que sea necesario para crear una nueva CA emisora.

Una vez que tenemos nuestra CA emisora, podemos pensar en protocolos y API. EJBCA ofrece un importante soporte de protocolos: Desde ACME hasta la configuración de auto-enrollment, puede integrarse con tu dominio de Active Directory y emitir certificados a usuarios con ordenadores a través de protocolos nativos de auto-enrollment. Lo mejor de esta configuración es la flexibilidad para activar y desactivar protocolos sobre la marcha.

Ahora podemos empezar a emitir nuevos certificados. La integración con Keyfactor Command significa que Keyfactor verá cualquier nuevo certificado y clave creados a través de EJBCA.

Usemos un perfil de servidor web para emitir un par de claves llamado "Keyfactor Webinar". Podemos configurar todos los atributos de DN que queramos, como OU, organización, qualit, etc. También podemos darle un nombre de usuario y un código de inscripción.

La visibilidad es fundamental en el mundo de la PKI, y ahí es donde el panel de Keyfactor Command , que muestra información de alto nivel, resulta tan importante. Muestra detalles como qué certificados están activos, cuáles caducarán pronto, dónde están ubicados los certificados y cuáles podrían necesitar revocación.

Además, puede hacer clic en cada certificado para obtener más detalles.

Keyfactor Command también puede agrupar certificados en colecciones, lo que permite a distintos grupos personalizar su panel de control para que sólo vean sus certificados y la información que les interesa. También podemos agrupar certificados por CA, por ejemplo para ver todos los certificados emitidos a través de EJBCA.

De hecho, podemos utilizar cualquier parámetro de búsqueda, incluidos los atributos del certificado, los metadatos o la longitud de la clave, para crear colecciones. Tal vez lo mejor de todo sea que la búsqueda funciona en inglés sencillo para que nadie tenga que preocuparse de escribir una consulta.

Keyfactor es agnóstico respecto a las CA, lo que significa que puede extraer todos estos datos de cualquier CA pública o privada. Como resultado, esto debería ser un proceso continuo para que siempre tengamos el último y mejor inventario de los certificados que existen en nuestro entorno y los detalles pertinentes de cada uno. La mejor forma de hacerlo es establecer reglas para escaneos incrementales que capturen nuevos certificados y actualizaciones de información de los ya existentes.

Este inventario incremental es importante a medida que seguimos emitiendo certificados. Con la combinación de Keyfactor Command y EJBCA, podemos incluso automatizar ese proceso hasta cierto punto dando permisos a diferentes grupos de usuarios para emitir certificados de una CA emisora o podemos añadir una CA emisora a un almacén de certificados para un proceso aún más automatizado.

En el camino, la potencia combinada de Keyfactor Command y EJBCA simplificará todo el proceso automatizando los esfuerzos críticos y proporcionando una profunda visibilidad de todo el programa PKI.

¿Le interesa saber más sobre la potencia combinada de Keyfactor Command y PrimeKey EJBCA? Haga clic aquí para ver el seminario web completo, incluida una demostración, sobre cómo se integran las dos soluciones para apoyar la gestión de certificados de extremo a extremo.