Arquitectura EJBCA
Las siguientes secciones describen una selección de arquitecturas PKI comunes implementadas y otros aspectos de las arquitecturas PKI de integración empresarial, como administración de claves, distribución de certificados y agrupación en clústeres y alta disponibilidad.
Arquitectura PKI
Existen múltiples maneras de implementar y diseñar una solución PKI, desde las más sencillas y económicas hasta las más complejas y costosas. EJBCA permite implementar prácticamente cualquier tipo de arquitectura PKI, y las siguientes secciones describen una selección de arquitecturas PKI comunes implementadas. A continuación, se describen las diversas maneras en que EJBCA puede configurarse como parte de una PKI.
CA/RA/VA independiente
Una única instalación de EJBCA actúa como CA, RA y VA. EJBCA admite multiinquilino completo, por lo que varias instancias de CA pueden alojar la misma instalación.
Para obtener más información, consulte Uso de EJBCA como CA/RA/VA independiente .
CA con RA y/o VA distribuidos
EMPRESA Esta es una característica de EJBCA Enterprise.
EJBCA se puede configurar utilizando el Protocolo de pares de PrimeKey para comunicarse con otras instancias de EJBCA que actúen como RA y/o VA en su lugar para mejorar el rendimiento y agregar seguridad al poder colocar la CA detrás de un firewall que permita solo conexiones salientes.
Para obtener más información, consulte EJBCA con RA/VAs distribuidas .
VA independiente
EJBCA se puede implementar como un VA independiente que atiende las necesidades de OCSP de instalaciones que no son EJBCA mediante la lectura periódica de CRL.
Para obtener más información, consulte Sincronización de la base de datos de VA y el servicio de descarga de CRL.
PKI híbrida con nube pública
EMPRESA Esta es una característica de EJBCA Enterprise.
EJBCA es adecuado para implementarse en una instalación en la nube o en un entorno híbrido local y en la nube. Un buen ejemplo es mantener la CA más sensible en las instalaciones locales, aprovechando al mismo tiempo los servicios distribuidos de la nube pública y la flexibilidad de las autoridades de validación o de registro.
Puede aprovechar de forma beneficiosa EJBCA Enterprise Cloud Edition, en Amazon Web Services (AWS), para configurar sus nodos en la nube.
Integración empresarial
Además de la instalación fundamental de PKI, hay muchos otros aspectos a tener en cuenta al diseñar una arquitectura PKI.
Gestión de claves
Para las instalaciones donde se requiere un cierto nivel de confianza y seguridad, las claves deben almacenarse en un módulo de seguridad de hardware (HSM).
Para obtener más información sobre cómo trabajar con HSM mediante EJBCA, consulte Módulos de seguridad de hardware (HSM) .
Para obtener más información sobre el dispositivo PKI con un HSM integrado, consulte Dispositivo PKI PrimeKey .
Distribución de certificados
Dado que la PKI es en realidad una infraestructura de seguridad, debe integrarse para adaptarse a las necesidades de seguridad de la organización y el caso de uso. Cada caso de uso y organización tiene sus propias necesidades, lo que hace que la integración sea verdaderamente universal. Un punto de integración frecuente es la integración con directorios o bases de datos corporativos. EJBCA puede publicar información en directorios, bases de datos u otros servidores mediante su amplia gama de publicadores .
Para obtener más información, consulte Descripción general de editores .
Agrupamiento y alta disponibilidad
Cuanto más crítica se vuelve la infraestructura PKI, mayor es la necesidad de alta disponibilidad y agrupación en clústeres. EJBCA, tanto CA como VA, se pueden agrupar fácilmente en clústeres para mejorar la disponibilidad y el rendimiento. La arquitectura PKI en sí no difiere entre operaciones agrupadas y no agrupadas, pero hay más servidores involucrados.
La agrupación en clústeres para alta disponibilidad y recuperación ante desastres se puede configurar fácilmente utilizando el dispositivo PKI , como se describe en la publicación del blog Alta disponibilidad para PKI en 8 simples pasos .
Para obtener más información, consulte Alta disponibilidad y agrupación en clústeres .
Revisión de cuentas
Para reforzar la arquitectura del centro de confianza completamente auditado, se separarán más funciones en componentes independientes e introducirá más acceso basado en roles a diferentes partes del sistema. Algunas características de dicho sistema son:
CA raíz y CA emisoras separadas.
Registros de auditoría firmados, agregación de registros en servidores de registro separados.
Instancias de bases de datos separadas, con contenido de base de datos de integridad protegida (separación de roles entre operadores de DBA y CA).
Autoridades de validación separadas.
Segmentos de red separados para todos los diferentes componentes.
Monitoreo y detección de intrusiones.
y más...
Automatización y operaciones a gran escala
En muchos casos de uso modernos (conocidos como IoT, Industria 4.0, etc.), es fundamental contar con procesos industriales automatizados, en algunos casos de alta velocidad y con grandes volúmenes. Todas las interfaces de integración mencionadas anteriormente (CMP, servicio web y SCEP) son adecuadas para operaciones automatizadas. En EJBCA, se pueden configurar numerosas opciones para diferentes niveles de automatización, diferentes modelos y políticas de confianza, etc. Al encontrar las opciones adecuadas, se puede integrar con prácticamente cualquier sistema, emitiendo certificados para cualquier cosa.
Dado que EJBCA utiliza bases de datos relacionales estándar, adecuadas para gran escala y alto rendimiento, se puede escalar fácilmente a cientos de millones de certificados emitidos, e incluso, con precaución, a miles de millones. Dependiendo de la arquitectura y las interfaces elegidas, se puede alcanzar una latencia muy baja (menos de 100 ms) y un rendimiento muy alto (más de 100 certificados/s).
Para obtener más información, consulte Maximizar el rendimiento .
Arquitectura interna de EJBCA
Para obtener información sobre la arquitectura interna de EJBCA, consulte Arquitectura interna .