Emisión de certificados TLS

La emisión de certificados TLS es un caso de uso común, tanto para proveedores públicos de certificados TLS como para PKI empresariales que necesitan aprovisionar certificados de servidor TLS internamente. En esta solución, se busca obtener certificados de corta duración y la máxima automatización posible, además de tener altos requisitos en la generación de OCSP y CRL.

Dado que esta infraestructura de clave pública (PKI) estará expuesta a internet, la seguridad del dominio es fundamental. EJBCA permite que los nodos externos (Autoridades de Registro [RA] y Autoridades de Validación [VA]) se conecten no solo a la autoridad de certificación (CA) mediante TLS mutuo, sino también con la CA tras un cortafuegos unidireccional. La compatibilidad con múltiples inquilinos permite que todas sus suborganizaciones y divisiones compartan la misma infraestructura PKI con una amplia seguridad de dominio implementada para garantizar la integridad de los silos de seguridad. Para obtener más información sobre cómo configurar todo esto con EJBCA, consulte Emisión de certificados TLS .

Cómo proteger su entorno Microsoft con EJBCA

La plataforma Microsoft es uno de los entornos empresariales más destacados a nivel mundial, y da servicio tanto a servidores como a estaciones de trabajo. Sin embargo, si bien el ecosistema Microsoft es tan maduro como omnipresente, la PKI propia de Microsoft, los Servicios de Certificados de Active Directory (AD CS), no siempre crece al mismo ritmo que su solución. Puede solucionar esto aprovechando EJBCA como backend de PKI en lugar de la Autoridad de Certificación (CA) de Microsoft. No solo obtiene la potencia de una de las mejores herramientas de PKI del mundo en su entorno, sino que también puede ahorrar costos y trabajo al tener una única instancia de EJBCA que gestione toda la PKI de su organización en todos los bosques, dominios y árboles, en lugar de tener que mantener una CA de Microsoft independiente para cada dominio.

Con la función de inscripción automática de EJBCA, la experiencia de usuario de sus clientes no cambia, mientras que sus administradores estarán encantados. Al usar EJBCA como CA backend para su entorno Microsoft, elimina la necesidad de una CA de Microsoft y de los Servicios de Certificados de Microsoft. Para saber cómo se integra EJBCA en su infraestructura mediante la inscripción automática de Microsoft y la compatibilidad con Intune y HSM, consulte "Protección de su entorno Microsoft con EJBCA" .

IoT e identidades de dispositivos

Ya sea que produzca estaciones base de radio (eNodeB) o pasarelas de seguridad para soluciones de telecomunicaciones, los dispositivos más recientes del Internet de las cosas (IoT) o automóviles conectados, si su dispositivo se comunica a través de internet, especialmente si es producido por un proveedor externo, le conviene usar PKI para proteger las comunicaciones, garantizar la identidad de sus dispositivos y garantizar que solo ellos puedan conectarse a su red. Es probable que su emisión sea completamente automatizada y, afortunadamente, EJBCA es compatible con casi todos los protocolos de registro. Para saber qué configuración se adapta mejor a sus necesidades, consulte IoT e identidades de dispositivos .

¡A lo grande! Uso de EJBCA como PKI empresarial a gran escala

¿Sus certificados se cuentan por millones, no por miles? EJBCA está diseñado para escalar. Mediante algunos ajustes y configuraciones, los volúmenes de emisión y respuesta OCSP de EJBCA permiten gestionar PKI a escala global. Si su PKI requiere un rendimiento excepcional, EJBCA es la mejor opción.

Si su problema es de escala y su solución PKI actual no puede manejar los volúmenes y el rendimiento de sus necesidades, consulte Uso de EJBCA como una PKI empresarial de gran escala para descubrir cómo se puede ajustar EJBCA para manejar incluso las PKI más grandes del mundo.

Emisión de certificados de identidad electrónica y firma de pasaportes electrónicos

PrimeKey tiene más de 20 años de experiencia en la emisión de certificados para tokens y tarjetas tanto para X509 como para Certificados Verificables de Tarjeta (CVC), y EJBCA PKI junto con SignServer de PrimeKey forman la base tecnológica de muchas autoridades de pasaportes en todo el mundo.

EJBCA implementa varios servicios PKI que pueden incluirse en una solución PKI de pasaporte electrónico, como la Autoridad de Certificación de Firma de País (CSCA), la Autoridad de Certificación de Certificados Verificables de Tarjetas (CVC) y la Autoridad de Certificación Verificadora de Documentos (DVCA). Para obtener más información y saber cómo configurarlos, consulte Emisión de Certificados de Identificación Electrónica y Firma de Pasaportes Electrónicos .

Servicios de PKI y firma para microservicios y entornos DevOps

Los microservicios, como enfoque arquitectónico para el desarrollo de software, se basan en la creación de una aplicación como un conjunto de pequeños servicios, generalmente orquestados por un sistema automatizado. Su adopción está relacionada con el uso de DevOps, la integración y entrega continuas (CI/CD) y los contenedores.

Un aspecto de los microservicios es la implementación y gestión de un gran número de servicios. Estos servidores ligeros exigen automatizar la configuración de servidores y aplicaciones, incluyendo las claves de seguridad y las credenciales necesarias. No se trata solo de ejecutar los productos PKI en un entorno DevOps, sino también de gestionar aplicaciones (no PKI) en un entorno DevOps de forma segura, proporcionándoles certificados, firmas digitales y credenciales a medida que se crean y destruyen los servicios. Para obtener más información, consulte PKI y servicios de firma para microservicios y entornos DevOps .

Implementación de PKI y servicios de firma en entornos DevOps

Al implementar una PKI, ya sea una PKI centralizada única, varias PKI distribuidas o quizás PKI de corta duración para fines específicos, conviene hacerlo con las mismas herramientas y procesos que se utilizan para el resto del entorno. Dos herramientas comunes son Ansible y Kubernetes, y EJBCA funciona bien con ambas.

Para obtener más información sobre cómo implementar su PKI como máquinas virtuales o contenedores y usar Ansible para automatizar la implementación y configuración de PKI, consulte Implementación de PKI y servicios de firma en entornos DevOps .

Implementaciones de PKI híbrida para fabricantes modernos

La demanda de consolidación de PKI es evidente al buscar la gobernanza de PKI en un entorno multi-PKI. Sin embargo, a medida que la necesidad de servicios de PKI se expande a nuevos casos de uso y requisitos de cumplimiento y disponibilidad, siempre existirá la necesidad de silos de PKI. Por lo tanto, es necesario estandarizar y optimizar las políticas y operaciones en múltiples silos para recuperar la gobernanza y minimizar el mantenimiento y los riesgos.

Para mantener la gobernanza central de la PKI y mantener las políticas de control y seguridad en toda la organización, es fundamental consolidar el uso de PKI y HSM siempre que sea posible, así como automatizar la instalación y configuración de las implementaciones de PKI. Para obtener más información sobre cómo una implementación flexible de PKI puede soportar tanto silos como modelos o implementaciones centralizadas, consulte Implementaciones de PKI híbridas para fabricantes modernos .

Preparación post-cuántica

Para la Infraestructura de Clave Pública (PKI), la llegada de las computadoras cuánticas significará que la mayoría de los algoritmos en los que confiamos actualmente dejarán de ser seguros. El Instituto Nacional de Estándares y Tecnología (NIST) afirma que el objetivo de la criptografía poscuántica es desarrollar sistemas criptográficos seguros contra computadoras cuánticas y clásicas, y que puedan interoperar con los protocolos y redes de comunicación existentes.

La cuestión de cuándo se construirá una computadora cuántica a gran escala es compleja. Actualmente, se estima que la llegada de computadoras cuánticas significativas (al menos en este sentido) ocurrirá alrededor de 2030 o poco después. El evento principal en curso es la Competencia Post-Cuántica del NIST, que está llegando a su fase final, y el NIST ha declarado que los nuevos estándares se publicarán en 2024.

A medida que se acerca la fecha de implementación de nuevos algoritmos de Criptografía Post-Cuántica (PQC), conviene establecer un alto nivel de agilidad criptográfica en su organización. Puede empezar a prepararse siendo ágil en criptografía y probando los nuevos algoritmos. Para obtener más información sobre lo que necesita hacer y cómo Keyfactor puede ayudarle , consulte Preparación Post-Cuántica .

PKI para 3GPP

El uso del Protocolo de gestión de certificados (CMP) junto con la especificación técnica del Proyecto de asociación de tercera generación (3GPP) permite que un eNodeB (estación base en redes 4G y 5G) se aprovisione automáticamente con un certificado de operador del operador de red móvil (MNO) sin que el fabricante del eNodeB y el MNO compartan PKI.

Esto se logra mediante un certificado emitido por el proveedor de la PKI del fabricante para autenticarse ante el operador móvil (MNO) tras la instalación, lo que autoriza la emisión de un certificado de operador de la PKI del MNO. Este certificado se utiliza para conectar el eNodoB a la red del MNO. Para obtener más información sobre el perfil CMP 3GPP y la inscripción mediante certificados a través de CMP con 3GPP, consulte PKI para 3GPP .