• Accueil
  • Blog
  • PKI
  • Gestion des certificats E2E à l'aide de Keyfactor et de EJBCA

Gestion des certificats E2E à l'aide de Keyfactor et de EJBCA

PKI

Le concept de gestion de l'identité des machines a explosé au cours de l'année écoulée, et ce pour une bonne raison. Les organisations disposent désormais d'un plus grand nombre d'éléments tels que des clés cryptographiques, des certificats X.509 et d'autres références qu'elles doivent gérer pour établir une confiance numérique entre les identités et les machines, y compris les appareils IoT , les machines virtuelles, les conteneurs, etc.

En fait, la gestion de l'identité des machines est devenue si importante qu'elle a été inscrite sur la liste de Gartner. liste de Gartner des principales tendances en matière de sécurité et de risque pour 2021. Plus précisément, Gartner a indiqué que la gestion de l'identité des machines doit être une priorité pour les organisations qui continuent à développer leurs certificats numériques, en notant que les organisations qui utilisent des outils de gestion des certificats X.509 peuvent réduire de 90 % les pannes liées aux certificats et réduire de moitié le temps consacré à la gestion de ces problèmes.

Consciente de cette importance, quelles mesures votre organisation peut-elle prendre pour y répondre ? Nous avons rencontré Eric Mizell, vice-président de l'ingénierie chez Keyfactor, et Alex Gregory, vice-président des produits Marketplace chez Keyfactor, afin de déterminer ce qu'il faut faire pour parvenir à une gestion de bout en bout des certificats avec Keyfactor Command et PrimeKey EJBCA.

Voici les grandes lignes de notre discussion.

Pourquoi Keyfactor et PrimeKey sont particulièrement bien placés pour prendre en charge la gestion des certificats E2E ?

Avant de voir comment Keyfactor et PrimeKey peuvent prendre en charge la gestion des certificats de bout en bout, il est essentiel de comprendre pourquoi cette association est la mieux placée pour résoudre ce problème. La réponse à cette question se résume à une combinaison de capacités de plate-forme et d'expertise en la matière.

Capacités de la plate-forme

Keyfactor et PrimeKey ont fusionné à l'été 2021, réunissant des solutions complètes et hautement évolutives pour la gestion de l'identité des machines (couvrant tout, des clés SSH aux certificats SSL et TLS ) et l'entreprise PKI. Cette combinaison crée une plateforme de bout en bout avec les meilleures capacités de gestion et d'automatisation de sa catégorie. de gestion et d'automatisation de premier ordre, capable d'émettre des certificats à grande échelle.

Keyfactor Plate-forme avec EJBCA

Expertise en la matière

Parallèlement, les équipes combinées de Keyfactor et PrimeKey apportent plus de 20 ans d'expérience dans ce domaine. Keyfactor a passé plus de deux décennies à diriger des initiatives de conseil PKI , tandis que PrimeKey possède les leaders du marché open-source PKI et CA depuis 2001. Cette expérience permet à l'équipe conjointe de soutenir les équipes de sécurité des entreprises et les équipes de IoT qui s'occupent de la sécurité au cours des processus de fabrication et de production.

Comment Keyfactor Command et EJBCA travaillent ensemble pour soutenir la gestion des certificats E2E

EJBCA est une autorité de certification évolutive de grande puissance. Elle prend en charge un nombre illimité de hiérarchies PKI par serveur, ce qui signifie que la seule raison pour laquelle vous devez ajouter des serveurs est l'augmentation de l'empreinte de votre PKI. 

Et c'est facile : il suffit d'ajouter EJBCA nœuds derrière un équilibreur de charge sur une base de données hautement disponible avec une bonne configuration HSM pour atteindre une échelle vraiment incroyable en ce qui concerne l'émission de certificats.

Tout aussi important, EJBCA est facile à consommer, avec trois options différentes en fonction de vos besoins : 

    • EJBCA SaaS : L'équipe PrimeKey et Keyfactor héberge, gère et exploite tout pour vous. Cette approche vous permet de bénéficier de toute la puissance de EJBCA, ce qui vous permet de tout configurer, des clés et des autorités de certification aux noms et profils et à tout ce qui se trouve sur EJBCA , sans avoir à vous soucier de l'infrastructure.
    • EJBCA Cloud : Proposé sous forme d'abonnement sur la place de marché AWS ou Microsoft Azure qui s'exécute EJBCA via une machine virtuelle dans votre environnement. Cette approche vous donne toutes les connaissances préconfigurées de ce qu'il faut pour empaqueter EJBCA afin que vous puissiez l'adapter, l'architecturer, le construire et le corriger selon vos besoins pour contrôler tous les aspects de votre PKI.
    • Software client : Prépare EJBCA sur une machine virtuelle que vous pouvez exécuter sur place ou sur un site hardware appliance qui possède un HSM intégré préconfiguré par PrimeKey.

Comment Keyfactor Command soutient l'automatisation du cycle de vie des certificats

Une fois que vous avez commencé à créer des certificats, vous devez les gérer tout au long de leur cycle de vie, et c'est là que Keyfactor Command entre en jeu.

Keyfactor Command prend en charge l'automatisation du cycle de vie des certificats, en fournissant la visibilité nécessaire pour identifier tous les certificats dans votre environnement et tenir un inventaire des autorités de certification, des magasins de certificats, des serveurs d'applications, etc. Cette visibilité peut soutenir l'évaluation des risques, par exemple pour comprendre quels certificats sont sur le point d'expirer et les faiblesses potentielles qui existent autour des certificats auto-signés. Keyfactor Command vous permet également de créer des alertes pour certains points de risque, par exemple lorsque les certificats sont sur le point d'expirer et qu'ils doivent être renouvelés pour éviter une interruption de service.

Keyfactor Command prend tout en charge, de l'enrôlement automatique des certificats au provisionnement automatique des serveurs d'application, des équilibreurs de charge, des pare-feux, etc. KeyfactorL'automatisation des certificats permet d'éviter les processus sujets aux erreurs et les situations trop fréquentes dans lesquelles les équipes de sécurité oublient un serveur lors du renouvellement de ces certificats.

Il est important de noter que Keyfactor Command dispose également de points d'intégration API solides avec n'importe quelle autorité de certification. Ces intégrations fournissent un inventaire en temps réel de tous les certificats existant dans un environnement et prennent en charge des fonctionnalités telles que l'inscription, la révocation et le provisionnement automatique des certificats. Il est à noter qu'une seule interface permet de créer un point unique de visibilité et de gestion.

Intégrer Keyfactor Command et EJBCA

L'intégration de Keyfactor Command et EJBCA présente de nombreux avantages. Elle permet de simplifier PKI en rendant les programmes hautement évolutifs et d'automatiser l'ensemble du processus de gestion pour soutenir l'agilité cryptographique. Elle offre également des niveaux de visibilité sans précédent en vous permettant de vous connecter à un nombre illimité d'autorités de certification publiques et privées et réduit les risques en aidant l'ensemble de votre organisation (y compris les équipes DevOps) à évoluer rapidement et en toute sécurité.

Voyons ce qu'il en est exactement.

Étape 1 : Création d'une nouvelle autorité de certification émettrice

Pour commencer, disons que vous avez plusieurs hiérarchies PKI au sein de EJBCA et que votre autorité de certification racine, y compris son jeton cryptographique, est hors ligne. Cela signifie que ces clés seront stockées dans votre HSM. Vous pouvez accéder à ces clés pour les utiliser pour la signature en entrant votre mot de passe dans le HSM. 

Capture d'écran de la plateforme EJBCA

Une fois que vous avez accès aux clés, vous pouvez les utiliser pour signer. Dans ce cas, ajoutons une autorité de certification appelée "Keyfactor Webinar Issuing CA". Nous avons plusieurs façons de signer cette AC : nous pouvons créer une AC auto-signée (ce qui n'est généralement pas quelque chose que vous voulez faire), utiliser une AC externe (ce qui est généralement mieux pour les AC racine hors ligne), ou vous pouvez utiliser une AC racine pour votre PKI (ce que nous ferons pour cet exemple).

2 - EJBCA Gérer les autorités de certification

Avant de signer l'AC, nous devons définir certains paramètres. Tout d'abord, rendons-la "active" en tant qu'autorité de certification émettrice pendant 15 ans. Ensuite, nous devons mettre en place une CRL. Dans ce cas, nous utiliserons une CRL de trois jours avec un chevauchement d'un jour, ce qui nous permet d'avoir plusieurs CRL différentes en vol tout en contrôlant exactement combien d'entre elles sont actives.

Une fois ces paramètres définis, cliquer sur "créer" dans la plateforme permettra à l'autorité de certification racine de signer la nouvelle autorité de certification émettrice, ce qui nous donnera une nouvelle hiérarchie PKI . 

3 - EJBCA Créer des AC

Ce processus ne prend que quelques secondes et, une fois la nouvelle autorité de certification émettrice créée, l'autorité de certification racine n'a plus besoin d'être en ligne. La meilleure pratique consiste à toujours garder l'autorité de certification racine hors ligne, à moins qu'elle ne soit nécessaire pour créer une nouvelle autorité de certification émettrice.

Une fois que nous avons notre autorité de certification émettrice, nous pouvons réfléchir aux protocoles et aux API. EJBCA offre une prise en charge importante des protocoles : De l'ACME à la configuration de l'inscription automatique, elle peut s'intégrer à votre domaine Active Directory et délivrer des certificats aux utilisateurs disposant d'ordinateurs par le biais de protocoles d'inscription automatique natifs. L'avantage de cette configuration est la flexibilité d'activer et de désactiver les protocoles à la volée.

4 - EJBCA Configuration du système

Étape 2 : Délivrer de nouveaux certificats

Nous pouvons maintenant commencer à émettre de nouveaux certificats. L'intégration avec Keyfactor Command signifie que Keyfactor verra tout nouveau certificat et toute nouvelle clé créés par EJBCA.

5 - EJBCA Faire une demande

Utilisons un profil de serveur web pour émettre une paire de clés appelée "Keyfactor Webinar ". Nous pouvons configurer tous les attributs DN que nous voulons, comme OU, organisation, qualité, etc. Nous pouvons également lui donner un nom d'utilisateur et un code d'inscription.

Étape 3 : Visualiser et gérer les certificats

La visibilité est reine dans le monde de PKI, et c'est pourquoi le tableau de bord de Keyfactor Command , qui affiche des informations de haut niveau, prend toute son importance. Il montre des détails tels que les certificats actifs, ceux qui expirent bientôt, l'emplacement des certificats et ceux qui pourraient nécessiter une révocation.

Keyfactor Tableau de bord

En outre, vous pouvez cliquer sur chaque certificat pour obtenir plus de détails.

7 - EJBCA Recherche de certificats

Keyfactor Command peut également regrouper les certificats dans des collections, ce qui permet à différents groupes de personnaliser leur tableau de bord afin de ne voir que leurs certificats et les informations qui les intéressent. Nous pouvons également regrouper les certificats par autorité de certification, par exemple pour voir tous les certificats émis par EJBCA.

8 - Keyfactor Recherche de certificats

Nous pouvons en fait utiliser n'importe quel paramètre de recherche, y compris les attributs des certificats, les métadonnées ou la longueur des clés, pour créer des collections. Mieux encore, la recherche s'effectue en anglais, de sorte que personne n'a à se préoccuper de la rédaction d'une requête.

9 - Keyfactor Recherche de certificats 2

Étape 4 : Rincer et répéter

Keyfactor est agnostique, ce qui signifie qu'il peut extraire toutes ces données de n'importe quelle autorité de certification publique ou privée. Par conséquent, ce processus doit être permanent afin que nous disposions toujours de l'inventaire le plus récent et le plus complet possible des certificats existant dans notre environnement et des détails pertinents sur chacun d'entre eux. La meilleure façon d'y parvenir est de définir des règles pour les analyses incrémentielles afin de capturer les nouveaux certificats et les mises à jour des informations relatives aux certificats existants.

Cet inventaire incrémentiel est important au fur et à mesure que nous émettons des certificats. Avec la combinaison de Keyfactor Command et EJBCA, nous pouvons même automatiser ce processus dans une certaine mesure en donnant à différents groupes d'utilisateurs des permissions pour émettre des certificats à partir d'une autorité de certification émettrice ou nous pouvons ajouter une autorité de certification émettrice à un magasin de certificats pour un processus encore plus automatisé.

10 - Keyfactor Adhésion au PFX

En cours de route, la puissance combinée de Keyfactor Command et EJBCA simplifiera l'ensemble du processus en automatisant les efforts critiques et en fournissant une visibilité approfondie de l'ensemble du programme PKI .

Vous en voulez plus ?

Vous souhaitez en savoir plus sur la puissance combinée de Keyfactor Command et PrimeKey EJBCA? Cliquez ici pour regarder l'intégralité du webinaire, y compris une démonstration, sur la façon dont les deux solutions s'intègrent pour prendre en charge la gestion des certificats de bout en bout.