Wat is PKI?

Wat is PKI?

PKI (public key infrastructure) is een systeem van processen, technologieën en beleidsregels waarmee u gegevens kunt versleutelen en ondertekenen. U kunt het gebruiken voor het uitgeven van digitale certificaten voor het authenticeren van gebruikers, apparaten en services. Deze certificaten beveiligen de verbinding met zowel openbare webpagina's als privésystemen, zoals uw VPN, intern Wi-Fi-netwerk, wiki-pagina's en andere services die MFA ondersteunen. Hebt u vragen?

FAQ'S

Wat is PKI?

PKI (public key infrastructure) is een systeem van processen, technologieën en beleidsregels waarmee u gegevens kunt versleutelen en/of ondertekenen. Met PKI kunt u digitale certificaten uitgeven voor het authenticeren van gebruikers, apparaten en services. Deze certificaten zijn geschikt voor zowel openbare webpagina's als interne privéservices (zoals de authenticatie van apparaten die verbinding willen maken met uw VPN, wiki, Wi-Fi enzovoort).

Waarom moet mijn organisatie PKI gebruiken?

Met Public key infrastructure (PKI) kunt u de beveiliging van uw netwerk aanmerkelijk verbeteren. Dit is mogelijk dankzij drie belangrijke voordelen:

• Authenticatie: Hiermee valideert u identiteiten zodat alleen bevoegde gebruikers en apparaten toegang krijgen tot een server.
• Versleuteling: Met een certificaat kunt u een versleutelde sessie starten om informatie privé te verzenden.
• Gegevensintegriteit: Hiermee garandeert u dat de gegevens die van en naar apparaten worden verzonden niet worden gewijzigd.

Hoe wordt PKI gebruikt?

Veelvoorkomende gebruiksscenario's voor PKI zijn onder andere:

• Beveiligen van webpagina's
• Versleutelen van bestanden
• Authenticeren en versleutelen van e-mail met S/MIME
• Authenticeren van knooppunten die verbinding willen maken met een draadloos netwerk
• Authenticeren van verbindingen met uw VPN
• Authenticeren van verbindingen met sites en services met bedrijfsgegevens met behulp van wederzijdse TLS-authenticatie

Wat is end-to-end versleuteling?

End-to-end versleuteling vindt plaats wanneer een bericht wordt versleuteld op het apparaat van de afzender en de ontsleuteling gebeurt op het apparaat van de ontvanger. Daardoor kan een derde partij de vertrouwelijke gegevens niet onderscheppen.

Wat is een certificeringsinstantie?

Een certificeringsinstantie (CA) is een vertrouwde derde die de identiteit verifieert van een organisatie die een digitaal certificaat aanvraagt. Nadat de identiteit is geverifieerd, geeft de certificeringsinstantie het certificaat uit en wordt de identiteit van de organisatie gekoppeld aan een openbare sleutel. Een digitaal certificaat kan worden vertrouwd omdat het zich in een keten bevindt die terugleidt naar het root-certificaat van de certificeringsinstantie.

Wat is een digitaal certificaat?

Een digitaal certificaat is het bewijs van de identiteit van de houder. Net zoals een rijbewijs is het certificaat uitgegeven door een vertrouwde derde, kan het niet worden nagemaakt en bevat het identificerende informatie.

Wat zijn openbare en persoonlijke sleutels en wat is het verband ertussen?

Openbare en persoonlijke sleutels worden gebruikt voor het versleutelen en ontsleutelen van informatie. Informatie die is versleuteld met de openbare sleutel kan alleen worden ontsleuteld met de persoonlijke sleutel. Dit sleutelpaar wordt ook wel asymmetrische cryptografie genoemd, omdat de versleuteling wordt gedaan met twee niet-identieke sleutels. De twee sleutels zijn mathematisch verwant, maar het is onmogelijk om de ene sleutel af te leiden op basis van de andere.

Wat zijn openbare en interne roots?

Een root-certificaat levert de ondertekening voor het koppelen van een identiteit aan de openbare sleutel. Aan de hand daarvan bepaalt u of een certificaat geldig is en of u het kunt vertrouwen.

Biedt DigiCert oplossingen voor zowel openbare als interne PKI?

Het korte antwoord: ja. DigiCert biedt oplossingen voor zowel openbare als interne PKI met een platform en RESTful API. Daarmee kunt u certificaatbeheer automatiseren en PKI-workflows aanpassen. Mogelijk hebt u tot nu toe alleen met een commerciële certificeringsinstantie te maken gehad bij het aanschaffen van openbare SSL-certificaten. In dat geval denkt u wellicht dat persoonlijke certificaten ongeveer evenveel kosten als openbare certificaten. Maar dat is niet zo. De kosten voor het uitgeven van een persoonlijk digitaal certificaat met DigiCert bedragen slechts een fractie van de kosten voor een openbaar certificaat.

Beveiligingsmensen en beheerders denken nog wel eens dat ze met een zelf gehoste interne PKI over een beperkt aantal certificaatprofielen kunnen beschikken. Of ze zijn bang dat ze alleen certificaatprofielen kunnen gebruiken die zijn goedgekeurd door het CA/Browser Forum. Met DigiCert kunt u echter beschikken over elk certificaat dat u wilt. De certificaatprofielen hoeven geen SSL/TSL-certificaatprofielen te zijn en hoeven zelfs geen X.509 te zijn.

Wat is MPKI?

Managed PKI (MPKI) is een oplossing die wordt geleverd door een certificeringsinstantie (CA), waarmee u certificaatprocessen kunt automatiseren en PKI-workflows kunt aanpassen. Wanneer uw organisatie op het punt komt dat er veel certificaten nodig zijn, biedt het vereenvoudigde certificaatbeheer van een MPKI-oplossing veel voordelen.

Moeten we een interne certificeringsinstantie opzetten (bouwen) of een gehoste certificeringsinstantie gebruiken (kopen)?

U kunt uw interne services (zoals VPN, wiki, Wi-Fi enz.) beveiligen met een interne certificeringsinstantie. Veel organisaties doen dit met Microsoft CA. Maar het bouwen en onderhouden van een interne CA kan duur en tijdrovend zijn. Kijk goed naar de kosten van beide opties voordat u een beslissing neemt. Veel certificeringsinstanties bieden gehoste oplossingen waarmee u de kosten uitspaart voor de hardware, software en mensen die u nodig zou hebben voor het opzetten van een interne PKI.

Wat is een certificaatbeleid?

Een certificaatbeleid (certificate policy of CP) is een document waarin de verschillende actoren van een PKI worden geïdentificeerd, alsmede hun rollen en verantwoordelijkheden. Het certificaatbeleid schrijft voor hoe certificaten mogen worden gebruikt, hoe de namen van certificaten worden gekozen, hoe de sleutels worden gegenereerd en nog veel meer. De relevante CP staat meestal vermeld in een veld in het X.509-certificaat. Raadpleeg voor informatie over certificaatbeleid het actueelste referentiedocument (RFC 3647): https://tools.ietf.org/html/rfc3647

Wat is sleutelopslag en hoe moeten we daarmee omgaan?

Sleutelopslag, ook wel sleutelarchivering genoemd, is het veilig opslaan van uw persoonlijke sleutel voor het geval u die niet meer weet. Om te voldoen aan FIPS en het strengste beveiligingsniveau te garanderen, raden we aan uw sleutels op te slaan met behulp van een HSM (Hardware Security Module).

Wat is een HSM?

Een HSM is een cryptografische, hardwarematige optie voor het veilig opslaan van sleutels. Meestal bevindt een HSM zich intern en wordt deze onderhouden door een medewerker van de organisatie. Dit kan prijzig zijn, maar er zijn ook goedkopere oplossingen. Zo biedt de Microsoft Azure Key Vault veilige sleutelopslag in de cloud-HSM van Microsoft. Als uw organisatie niet zo groot is en/of u niet de middelen hebt om uw eigen HSM te kopen en onderhouden, is Microsoft Azure Key Vault een goede oplossing. Sommige openbare certificeringsinstanties, waaronder DigiCert, bieden integratie met Microsoft Azure.

Hoe begin ik met het bouwen van een PKI?

Om te beginnen moet u beoordelen wat uw behoeften zijn en met welke technologie u gaat werken. Wij adviseren de volgende vijf stappen als eerste te doen:

• Identificeer de niet-onderhandelbare beveiligingsrisico's in uw netwerk
• Bepaal welke beveiligingsrisico's u kunt beperken met PKI
• Ontwikkel de juiste mix van openbare en interne PKI
• Beslis of u gaat bouwen (interne CA) of gaat kopen (gehoste CA)
• Bepaal hoe de levering van certificaten aan apparaten wilt automatiseren

Als u hulp nodig hebt, kunt u contact opnemen met een van onze PKI-architecten door een e-mail te sturen naar enterprise@digicert.com.