如何自动化可扩展PKI | 访谈

在我们第四次也是最后一次就构建可扩展PKI话题进行采访的时候，我们向Darin请教了可以如何自动化证书管理。

但首先，让我们来回顾一下，我们是如何逐步谈到这个话题的：我们首先讲述了一些关键PKI使用案例的高级概述。然后深入探讨了公共和私有PKI的区别。接下来，我们提供了一些信息来帮助你弄明白你的私有PKI是应当使用托管还是内部CA。现在，我们将继续探讨有关自动化证书管理的事宜，以便将你的PKI转变成一个有效的机器。

但是，你应该如何做？我们首先向Darin询问了能够帮助企业自动化证书管理的工具。

Q：我需要什么工具来自动化证书管理？

DA：

在之前的采访中，我们谈到了在你的企业的设备上使用证书，因此当他们连接到虚拟专用网络时（VPN），他们必须提供他们的用户名、密码和证书。因此，接下来的问题就是：“有什么证书管理软件解决方案能够自动化这一过程？”

然而，如果你已经拥有企业设备管理软件（根据你所管理的设备数量，你很有可能已经有了），我建议找一个CA机构来将证书交付到设备上，让它们与你已经在使用的这些软件解决方案进行整合，以便管理设备。一个这样的很好的例子就是DigiCert与Venafi联合推出的Rest API整合工具。

Q：这些集成是如何实现自动化证书管理的？

DA：

你应当明确一件事是，你所选择的CA是否能够提供可编程API。当我说可编程时，我的意思是，你可以使用RESTful API端点，把它作为你正在进行的编程的一部分。

这可以是全编程，在这种情况下，你可以从头开始创建由服务启动的脚本。比如，设备可能会访问服务器，之后服务器便会启动可以访问API终端的脚本，请求证书，获取证书，以及将证书传递到设备。

另一个例子是已经为一些证书管理编写好了的软件，但是你需要编写几段代码，明确什么时候请求证书，什么时候发送证书请求信息给脚本，以及什么时候发送该脚本给API。

Q：哪些软件可以集成到自动化证书管理？

DA：

这个模型可以应用于各种软件解决方案，包括Venafi，AirWatch，Casper，Tanium等。这些解决方案已经编写好了交付程序包到笔记本和其他设备上的相关管理事宜。

比如，Venafi就允许你在服务器上安装一个代理，之后，Venafi服务器便能与那个代理通话，从而达到管理SSL证书的目的。为了最大化证书签发，Venafi已经与DigiCert等CA机构，甚至是诸如微软CA那样的私有CA进行了整合。

一些企业会处理人们的信息卡信息，而支付卡行业（PCI）对这些企业如何管理其服务做了要求。其中就包括知道设备上存在的东西。如果你属于这一类型，你很有可能已经在使用Venafi、Airwatch或Casper等的工具了。

Q：除了用于证书管理的API集成之外，还有其他选项吗？

DA：

另一个选项是简单证书注册协议（SCEP）。这要求在设备上设置一个SCEP代理，与企业设备管理软件协同工作。企业设备管理软件会向设备发送脚本，告诉它去获取一个证书，并提供能够访问SCEP服务的配置信息。

之后，SCEP服务就会帮助设备获取证书了。这一方法的好处是，支持SCEP的所有设备（Android、Microsoft Windows、Apple、Linux 以及其他支持SCEP代理的操作系统）都可以快速从概念验证走向生产，因为它已经是一个既定的协议了。

因此，SCEP的好处是，代理已经知道如何为设备请求证书和从设备上撤回证书。代理将自动把它放到操作系统的密钥库中。一些企业设备管理系统具有这个能力，但是这个问题你应当问你的软件供应商。如果你的软件具有这个功能，DigiCert REST API等工具就能够替代SCEP代理。

作为SCEP的继任者，除了支持椭圆曲线加密（ECC）以外， Enrollment over Secure Transport（EST）与它几乎是相同的。

自动化证书管理的第四个主要的选项是，微软活动目录自动注册（Microsoft Active Directory (AD) Auto-enrollment）。它可以用于将证书自动化交付到所有Windows PC和服务器上的微软密钥库中。

在这种情况下，使用RESTful API来自动启动这些服务器类型可能更合理。让我们假设你拥有一个大工程，你必须启动和关闭正在运行Tomcat web服务的服务器，并且每个服务器都需要一个证书，那么如果你想要使用脚本自动化一切，你最好使用RESTful API。

Q：那么，我怎么知道哪些解决方案最适合我的网络？

DA：

决定是使用API，SCEP，EST还是AD Auto-Enrollment，很大程度取决于你所处理的技术。它可能也取决于密钥类型。比如，SCEP对RSA密钥类型的证书是有用的，但如果类型是椭圆曲线的，SCEP就行不通了——而EST是有用的。

这一切都要归结于你所拥有的技术。如果已经在使用微软AD了，使用AD Auto-Enrollment可能更合理。而如果你拥有支持API集成的企业设备管理工具和CA的API，你可以把证书管理迁移到你现有的工作流中。无论你所使用的是哪种混合技术，你都可以自动化RESTful API 来满足需求。

Q：如果我是一个连接设备制造商呢？ 

DA：

对物联网来说，RESTful API通常最适合把证书自动交付给连接设备。这些制造商正在设备上编写软件。他们正在编写云服务软件，他们知道如何与其设备对话。为了把软件添加到证书中，只需要在其云服务上增加一个简单的块就可以了，他们的云服务知道如何与RESTful API对话。

因此，你可以使用四种方法来自动化证书流程：

• RESTful API


• SCEP


• EST


• AD Auto-enrollment

Q：以上就是有关如何构建可扩展PKI的所有介绍。你会如何总结所有内容？

DA：

我会这样总结，把构建可扩展PKI分为六个步骤：

1. 辨别必须避免的网络安全风险

2. 评估使用PKI可以规避哪些网络安全风险

3. 研究正确的公共和私有PKI组合

4. 为私有PKI选择托管或内部的CA

5. 辨别哪些类型的设备将会需要证书

6. 确定如何将证书自动交付到设备

作为一名安全工程师，你首先要做的是，评估你自己的环境。这一点我经常向我的客户提到。你总有一些“必做的事情”——你必须保护网络服务的数据输入，你必须保护你的数据库，你必须保护你的网络，让它们不能从外部进行访问，你必须核实传递到网络上的信息的真实性。这些都是高层次的概念，但作为一名安全人员，如果你刚开始就定义了这些概念，你就可以避免大量问题。

之后，利用你对PKI的了解，你可以使用签名来识别邮件的发送人，对邮件进行加密和解密，保护你的网络等等。

接下来，你需要了解哪些设备需要证书。在这里，就涉及到两个问题：如何把证书安装到这些设备上，以及设备管理软件是否可以通过API集成来帮助你实现这一点。

当你构建可扩展的PKI时，这些步骤能够让你拥有更多的信心，并提高成功的机会。祝你好运！