如何构建可扩展托管和内部PKI？| 访谈

在我们之前对DigiCert高级PKI架构师Darin Andrew的采访中，我们讨论了公共和私有PKI的差别。我们已经知道大多数企业使用的是混合PKI解决方案。

即便如此，部署私有PKI有两种选项：（1）使用来自证书机构（CA）的托管解决方案，或者（2）构建属于你自己的内部CA。因为人们常常想要知道每种方案的费用和好处，所以我们请Darin向我们做了详细的介绍。

Q：假设我已经决定创建私有根，那么我应当使用托管还是内部CA？

DA：

构建属于你自己的内部CA是可能的。但真正的问题的是，将资源用于构建这个内部CA对企业来说是有意义的吗？这需要根据不同的案例来看。

一般公司的目标不是围绕着创建一个健壮的PKI解决方案。如果你是一个商业CA，那么这是你的第一目标。但大多数公司中的工程师有更多近期的目标，如确保销售人员正常工作，或生产线正常运转。

通常，托管解决方案能够给你所有你想要的。然后，你的工程团队便能将精力专注于企业最关键的项目。构建内部CA对一些公司来说是明智的。然而不幸的是，我经常看到公司构建内部CA不是因为它是对公司最好的，而是因为他们对托管解决有误解。

Q：对托管解决方案的一些误解是什么？

DA：

简言之，常见的误解主要在费用、功能和灵活性上。

许多公司在与CA打交道的过程中，只有为其网页购买公众可信任的SSL证书这一个事项。因为这是他们唯一的参照点，所以他们便假设在购买私有证书时，每个证书所花费的费用与公众可信任的证书是一样的——情况并不是这样。

通常，托管CA在签发私有证书时，所收取的费用只是其签发公众可信任的证书的一部分。相比每个私有证书所花费的成本，客户所预测的费用总是过低。

另一个常见的误解是，他们不能利用托管解决方案实现相同的目标。比如，你可能会想知道，你是否可以利用托管解决方案对证书签发进行自动化。许多商业CA都有诸如API等的工具，用以自动化证书管理。因此，在选择一个商业CA前，查看一下他们的平台和工具吧。

许多人也认为托管CA将限制他们访问某些证书的配置文件。他们认为他们只能获得CA/浏览器论坛所批准的证书配置文件。因为我们谈论的是私有证书，所以DigiCert将提供任何你所需要的证书配置文件。

Q：那么，我如何确定构建内部CA对我的公司是有意义的？

DA：

首先需要考虑的事情是扩展。你如何确定你的PKI的规模？

在我们第一次的访谈中，我们谈到了要展望未来5到10年的情况。各公司经常根据当下的需要来构建内部CA，但最终却发现这对明天的需要却是不够的。

比如，假设内部CA当前的需求是，将认证证书签发到笔记本电脑和手机中，因此他们就可以验证进入你的无线网络。

然后，5个月后，你可能会发现，你需要为所有你的内部服务器设置证书。你可能会想要通过API来将证书自动签发给所有服务器。

现在，你便开始创建API界面，而这又是另一个项目了。这样，之前的一个小项目现在就发展成一个需要调集大量资源的大项目了。

不要被项目当前的规模所欺骗了——要从长远考虑。尽管要猜测在接下来5到10年中你将需要什么是很困难的，但一个成熟的商业CA对处理这种情况是一种很好的资源，因为它与大量企业进行过合作。一个商业的CA知道多年来这些PKI是如何扩展的。

Q：创建内部CA时会涉及到哪些费用？

DA：

我经常看到企业在创建内部CA时总是将人员成本排除在外。我指的不仅仅是雇佣额外人员来构建和管理内部CA的成本，还包括你的工程团队的机会成本。

你的工程团队很有可能有其他大量在安全和维护基础设施方面的责任。比如电子邮件服务器，无线，渗透测试，审计，风险评估等等。他们有大量的工作任务。而创建内部CA可能使他们不能去做其他重要的任务。

人们忘记的另一件事是，证书签发只是这个难题的一部分。记住其他一些诸如撤销等的重要的任务是非常好的。

是的，你最终可以花费50万美元来构建内部CA，但这取决于你的项目的范围和规模以及预测的对未来的需要。对于一些公司来说，目标不同，花费的费用就相应不同。

与其把金钱一股脑投入项目中，不如列出需要考虑的项目，这可能更有意义。要明确每个公司需要花费的金额是很困难的，因为各公司的情况都大为不同。即便如此，你可以确定你是否需要以下每一项，并评估你的每一项业务的成本，这样便能够给你带来帮助。

采访过程中，Darin将成本考虑进行了细分。它们主要包括6大类别：

1. 硬件、软件和许可。

2. PKI专家知识

3. 培训

4. 证书政策（CP）和证书实践声明（CPS）

5. 证书政策审计

6. 漏洞检测

出于本文的目的，我们将重点关注硬件、软件、许可和人员。

有关在每个类别中这些成本所包括的内容，以下是更为详细的信息：

硬件、软件和许可

• 包括冗余CA服务器等的CA服务器


• 在线证书状态协议（OCSP）和证书撤销列表（CRL）分布式服务，用于冗余、高可用性和快速响应时间


• 防火墙、隔离网络和专用存储架区


• 脱机根和脱机备份根的存储机制——要求HSM（分层存储管理）


• 对HSM进行签名

人员

• PKI机构和管理人员


• 编写证书请求/撤销（如有需要）界面的开发人员资源


• 审计人员


• 针对拥有PKI责任（认证，会议等）的人员的常规培训

DA：

当然，这些并不是所有可能的成本考虑，但是我们已经给了你一些你立刻就可以开始考虑的关键的成本项。然而，最佳的做法是寻求知名商业CA中的PKI工程师的帮助。因为他们将帮助你评估你的特定PKI基础架构需要，从而给你一个详细和准确的成本预测。

在我们接下来的文章中，我们将解决如何自动化证书管理。而现在，我们将本文的要点总结如下：

1. 在托管或内部CA之间做出选择时，考虑工程团队的机会成本。

2. 不要被PKI当前的范围和规模所欺骗了——要从长远考虑。

3. 决定采用内部CA前，理解硬件、软件和人员成本。