Articles /

Jak správně odstranit certifikační autoritu

zabezpečení komunikace prostřednictvím digitálních certifikátů patří k nejbezpečnějším procesům, které organizace dnes používají. Použití kryptografie veřejného klíče činí certifikáty uncrackable a mohou být použity k ochraně nespočetných síťových operací.

každá síť, která nepostupuje, samozřejmě zaostává a v určitém okamžiku je třeba ji aktualizovat. Může existovat případ, kdy se potřeba nahradit nebo odstranit starou certifikační autoritu (CA) stane prioritou, takže prozkoumáme důležitost a proces vyřazení zastaralé CA z provozu.

význam organizace CA

stejně jako u většiny věcí v životě je udržování síťových komponent (v tomto případě CA) organizované vynikající strategií pro dlouhověkost a vysoký výkon. Přesčas, to může zahrnovat nahrazení vašeho CA, protože chcete upgradovat na nového dodavatele, již nepotřebujete starší systém, nebo nesčetné množství dalších důvodů, které můžete mít. Je důležité zcela odstranit starou CA kvůli zmatku, který může způsobit ve vaší síti, pokud zůstane nedotčen.

jedním z nejbezprostřednějších problémů, se kterými se uživatelé sítě setkají, pokud je CA nesprávně odstraněna, je potíže s ověřením. CA podepisuje certifikáty a během procesu ověřování a tento podpis je kontrolován, aby se zajistilo, že certifikát pochází z důvěryhodného zdroje CA. Pokud tento podpis CA již není platný, Uživatelé nebudou moci ověřit a budou zmateni, protože nezměnili nic o svém procesu a nemohou se dostat online.

zelená a hnědá větev stromu na hnědé skále

je obzvláště důležité správně odstranit kořenový CA ze sítě. Root CA podepisuje certifikáty distribuované koncovým uživatelům pro autentizaci a tyto certifikáty lze nastavit tak, aby trvaly roky. Pokud root CA není správně odstraněn a certifikáty nejsou zrušeny, můžete skončit v situaci, kdy je stará root CA stále technicky aktivní a uživatelé, kteří mají certifikát podepsaný, mohou přistupovat k síti, když by měli být odepřeni. To může vést k vážnému narušení provozu nebo možnému narušení bezpečnosti.

klíčovým krokem při čištění staré CA je odstranění objektu zápisu CA, takže se uživatelé již nemohou pokoušet zapsat certifikát z této CA. Pokud stará CA stále umožňuje uživatelům pokusit se zaregistrovat certifikát, způsobí to obrovské zpomalení během přechodu na novou CA. To je zvláště důležité pro klienty služby Active Directory (AD), protože reklama se automaticky pokusí zapsat je do certifikátu, pokud je objekt zápisu stále aktivní.

čištění a mazání zastaralé CA

proces mazání staré CA a čištění její sítě není příliš složitý proces, ale vyžaduje přesnost. Pokud nebudou podniknuty určité kroky a chybí podrobnosti, povede to k tomu, že mnoho zmatených uživatelů a zranitelnosti zabezpečení zůstane otevřené.

Níže jsme podrobně popsali zastřešující kroky k úspěšnému odstranění CA z vaší sítě.

  • zrušit všechny certifikáty vázané na CA
    • v rukou serverů, uživatelů, zařízení atd.
  • přidejte všechny certifikáty do seznamu zrušení certifikátu (CRL)
    • ujistěte se, že je seznam zveřejněn a testován
  • zrušit všechny nevyřízené žádosti o certifikát
    • nelze vydat žádné nové certifikáty, které jsou podepsány touto CA
  • odstranění certifikačních služeb souvisejících s CA
    • to zahrnuje operace, jako je odstranění soukromého klíče a odstranění šablon certifikátů přidružených k CA

tento proces nemusí být rychlý, ale důkladnost odráží pozitivní výsledky. Pokud zcela odstraníte vše spojené s CA, nebudete mít žádné problémy s jeho výměnou. Zatímco složitost procesu se může u různých dodavatelů CA lišit, celkové kroky k dokončení odstranění zůstávají stejné. Zde je uveden podrobný pohled na proces odebrání CA pro ty, kteří mají CA se systémem Windows.

špičkové certifikační služby s SecureW2

pokud chcete odstranit starou CA a nahradit ji něčím novým, služby PKI SecureW2 jsou špičkové pro uživatelský komfort a bezpečnost. Naše PKI na klíč může rychle vytvořit CA, který bude použit pro autentizaci, nebo snadno integrovat se síťovou infrastrukturou od jakéhokoli významného dodavatele, včetně AD CS. Pokud tedy hledáte náhradu za certifikační služby z AD, nehledejte nic jiného než SecureW2.

portál pro správu SecureW2 umožňuje administrátorům snadno prohlížet a spravovat všechny certifikáty v síti. Zrušení je rychlý proces, nebo můžete zobrazit všechny události ověřování a registrace a vzdáleně řešit problémy, se kterými se uživatelé mohou setkat.

jedním z hlavních problémů, s nimiž se organizace setkávají s certifikáty, je, jak je efektivně distribuovat koncovým uživatelům. JoinNow onboarding řešení umožňuje uživatelům self-konfigurovat jakékoliv zařízení během několika minut a být připraven k ověření okamžitě. Pomáhá nesmírně při vytváření celých služeb PKI extrémně škálovatelných. Může být snadno použit organizací jakékoli velikosti a časem s vámi roste.

SecureW2 nabízí širokou škálu certifikačních služeb, od ověřování RADIUS a tolik mezi tím. Pokud potřebujete pokročit ze zastaralé CA, SecureW2 vás pokryla řadou možností a funkcí certifikátu. Podívejte se na naši cenovou stránku a zjistěte, zda naše PKI vyhovuje potřebám vaší sítě.

Leave a Reply