Las 4 mejores soluciones Open Source PKI Software (y cómo elegir la adecuada)

Hay muchas razones por las que puede estar buscando open-source infraestructura de clave pública (PKI) software. Tal vez necesite habilitar la autenticación y el cifrado para IoT productos que distribuye al mercado. O tal vez esté emitiendo certificados en un entorno de microservicios para proteger las conexiones de máquina a máquina. En cualquier caso, tiene opciones.

open-source En este blog se analizarán las mejores herramientas de PKI software disponibles en la actualidad y se ofrecerán consejos para elegir la herramienta adecuada a sus necesidades.

En primer lugar, empecemos con algunas definiciones. La PKI se utiliza para emitir certificados que permiten la autenticación, el cifrado y las firmas digitales para múltiples casos de uso. 

Autenticación: demostrar su identidad ante un sitio web u otra entidad

CifradoProtección de datos contra el acceso no autorizado

Firmas digitalesverificación de la autenticidad de un mensaje o documento

Open-source Las soluciones PKI son un tipo de CA software que cualquiera puede utilizar, modificar y distribuir. Open source software podría utilizarse para certificados de confianza pública SSL/TLS o, más comúnmente, como autoridad de certificación (CA) privada para la confianza interna dentro de una empresa. 

El código de estas herramientas suele publicarse bajo una licencia open-source , que permite a cualquiera ver, editar y redistribuir software. 

Los desarrolladores e ingenieros aprovechan cada vez más la PKI para integrar la seguridad en sus productos o en los procesos de desarrollo y entrega de aplicaciones. Open source certificate authority (CA) software es una excelente forma de iniciarse en la PKI.

open-source Existen muchas herramientas PKI software diferentes disponibles en la actualidad en la actualidad. Aquí hemos desglosado las cuatro soluciones PKI más comunes de open source , incluyendo consideraciones y recomendaciones clave a la hora de elegir la más adecuada para su caso de uso.

EJBCA es una solución PKI basada en Java que ofrece ediciones para empresas y para la comunidad. EJBCA La edición Community (CE) es de descarga gratuita y cuenta con todas las funciones básicas necesarias para la emisión y gestión de certificados. Incluye múltiples métodos de inscripción de certificados, así como una API REST. EJBCA fue desarrollado por PrimeKey, que ahora forma parte de Keyfactor, y es la solución de mayor confianza y más adoptada para open-source PKI CA en la actualidad.

Entre sus principales funciones figuran:

• Emisión y gestión del ciclo de vida de certificados X.509 y SSH
• Autoridad de certificación (CA), autoridad de registro (RA) y funcionalidad OCSP
• Extensibilidad mediante CMP, SCEP y REST API
• Registro de auditoría en archivo o base de datos
• Soporte HSM básico mediante Java PKCS#11

EJBCA Enterprise Edition (EE) incluye funciones para entornos listos para la producción, como alta disponibilidad, agrupación en clústeres, autenticación, protocolo avanzado y compatibilidad con HSM, asistencia y servicios profesionales, y flexibilidad de implantación. EJBCA Enterprise puede implantarse como una PKI llave en mano hardware appliance , software appliance , basada en la nube o SaaS.

Dogtag Certificate System (también conocido como Dogtag PKI) es una autoridad de certificación (CA) de open-source que admite muchos casos de uso comunes de PKI. Ofrece una interfaz de gestión basada en web que le permite controlar sus certificados al tiempo que admite múltiples formatos para que puedan adaptarse fácilmente a diferentes casos de uso.

Entre sus principales funciones figuran:

• Emisión y gestión de certificados X.509
• Generación y publicación de CRL
• Autoridad local de registro (ALR) para autenticación y políticas
• Extensibilidad mediante ACME, SCEP y REST API
• No admite bases de datos relacionales - requiere LDAP

OpenXPKI es un conjunto de herramientas basado en OpenSSL y Perl que permite crear, gestionar e implantar certificados digitales. Incluye soporte para múltiples formatos de certificado y una interfaz en línea para ayudarle a supervisar sus cargas de trabajo PKI.

Entre sus principales funciones figuran:

• Emisión y gestión de certificados X.509
• Interfaz gráfica de usuario basada en web compatible con los principales navegadores
• Extensibilidad mediante SCEP y EST

Step-ca es una sencilla pero flexible herramienta PKI basada en CLI open-source que puede crear y gestionar certificados digitales. Incluye soporte para múltiples formatos de certificados y se integra con herramientas como Kubernetes, Nebula y Envoy.

Entre sus principales funciones figuran:

• Emisión y gestión de certificados X.509 y SSH
• Interfaz basada en CLI para certificado 
• Extensibilidad mediante protocolo ACME y SCEP
• Requiere conocimientos técnicos en conceptos PKI y JSON

A la hora de elegir una herramienta de gestión de PKI en open source , existen varios factores que deberá tener en cuenta en función de sus requisitos y casos de uso específicos.

Facilidad de uso:

Configurar y ejecutar una PKI no es para los débiles de corazón. Incluso las mejores herramientas pueden crear vulnerabilidades si no se configuran y despliegan correctamente. Open-source Las soluciones PKI deben ser fáciles de desplegar, siendo los contenedores publicados el método más sencillo. También deben ofrecer una interfaz fácil de usar para la configuración, la generación de informes y la gestión.

Flexibilidad y extensibilidad:

Una vez que tenga su PKI en funcionamiento, necesitará integrar los flujos de trabajo de emisión y gestión de certificados con sus herramientas y aplicaciones. Los protocolos estándar del sector, como ACME, SCEP, EST y CMP, ofrecen funciones de gestión del ciclo de vida de los certificados e inscripción. Una API REST también es importante para ofrecer extensibilidad y funcionalidad adicionales específicas de la herramienta que elija.

Documentación y comunidad de usuarios:

Una buena documentación es esencial para cualquier solución PKI. Asegúrese de que la documentación está actualizada y es fácil de entender. La asistencia técnica no suele estar disponible en los proyectos de open-source , por lo que deberá asegurarse de que puede configurar e implantar la solución de forma independiente.

También debes asegurarte de que exista una comunidad sólida que te ofrezca apoyo y orientación cuando lo necesites. Un buen indicador de la existencia de una comunidad activa es comprobar el número de descargas, debates y foros en línea en los que los usuarios finales pueden debatir sobre las funciones y ayudarse mutuamente.

Mantenimiento y asistencia:

La seguridad no es estática, y su PKI tampoco debería serlo. Asegúrese de que su solución PKI open source es desarrollada y mantenida activamente por la comunidad y el propietario del proyecto. Esto garantiza que las vulnerabilidades se aborden con rapidez y que las nuevas características y funcionalidades estén disponibles continuamente a medida que evoluciona el panorama de la PKI.

Si algo va mal en la implantación de su PKI, necesitará acceso a la documentación de resolución de problemas. Asegúrese de que el proveedor que elija ofrezca una documentación exhaustiva y un acuerdo de asistencia comercial/premium disponible en el proveedor con una versión empresarial, por si surgiera la necesidad de actualizar.

Actualización de la empresa:

Si necesita funciones de nivel empresarial, asegúrese de elegir una herramienta que ofrezca una vía sencilla de actualización. Una PKI empresarial con todas las funciones debe ser capaz de gestionar el aumento de carga de los entornos de producción a gran escala sin comprometer el rendimiento ni la seguridad. Para cumplir estos requisitos, necesitará funciones como alta disponibilidad, agrupación en clústeres de varios nodos, certificaciones de conformidad, protocolos avanzados e integraciones del módulo de seguridad hardware (HSM).

EJBCA CE es una solución PKI potente, flexible y fácil de usar que utilizan todos, desde desarrolladores e ingenieros hasta equipos de IAM y seguridad, para emitir identidades de confianza para todos sus dispositivos y cargas de trabajo. Éstas son sólo algunas de las razones clave por las que los equipos eligen EJBCA CE frente a las alternativas de PKI de open source :

Solución PKI completa:

EJBCA proporciona una solución PKI completa que incluye todo lo necesario para empezar. Es compatible con las funciones de CA, RA y OCSP desde el primer momento y puede ampliarse fácilmente para satisfacer incluso las cargas de trabajo de transacciones más exigentes para la emisión y validación de certificados.

Extensibilidad:

EJBCA es extremadamente flexible y puede ampliarse fácilmente para satisfacer sus necesidades específicas. Admite plugins preconstruidos con otras herramientas de open-source como HashiCorp Vault y Kubernetes, y también admite protocolos SCEP, CMP y REST API. Los protocolos avanzados como ACME y EST están disponibles con EJBCA Enterprise.

Fácil de desplegar y utilizar:

EJBCA se puede descargar fácilmente desde GitHub y Sourceforge. También está disponible como contenedor publicado a través de Docker Hub, lo que facilita su despliegue rápido y seguro. También ofrece una interfaz gráfica de usuario basada en web para la administración centralizada de CA, registros de auditoría, plantillas y políticas, etc.

Probado y de confianza:

EJBCA es uno de los proyectos de CA software más antiguos, con millones de descargas y una solidez y fiabilidad demostradas. Se basa en estándares abiertos y en una plataforma de certificados de criterios comunes open-source .

Documentación sólida:

EJBCA está respaldado por una completa documentación, que incluye guías prácticas, vídeos tutoriales, guías de solución de problemas y casos de uso. Esto hace que sea increíblemente fácil para los usuarios finales ponerse en marcha rápidamente y sacar el máximo provecho de su PKI.

Camino a la empresa:

Si necesita una solución PKI de nivel empresarial, EJBCA le ofrece una forma sencilla de pasar de la edición Community a la edición Enterprise. EJBCA Enterprise está disponible en muchas formas y sabores diferentes para satisfacer sus requisitos específicos de simplicidad, disponibilidad y cumplimiento.

Y si necesita ayuda para implantar y gestionar su PKI, descubra por qué otras organizaciones están adoptando soluciones de PKI gestionada para mejorar su PKI.

Si busca una herramienta de gestión de PKI en open source , no deje de explorar EJBCA Community con Keyfactor. ¿Está listo para probar EJBCA Enterprise? No hay problema. Puede empezar con una prueba gratuita de 30 días de EJBCA Cloud en Microsoft Azure o AWS en cuestión de minutos.