ProHoster > Blog > Administrasi > Alternatif Microsoft pikeun Otoritas Sertipikat

Alternatif Microsoft pikeun Otoritas Sertipikat

Pamaké teu bisa dipercaya. Kanggo sabagéan ageung, aranjeunna puguh sareng milih kanyamanan tinimbang kaamanan. Numutkeun statistik, 21% nyerat kecap konci pikeun akun padamelan dina kertas, 50% nunjukkeun kecap konci anu sami pikeun padamelan sareng jasa pribadi.

Lingkungan ogé mumusuhan. 74% organisasi ngawenangkeun alat pribadi dibawa ka tempat kerja sareng disambungkeun ka jaringan perusahaan. 94% pamaké teu bisa ngabedakeun surelek nyata ti hiji phishing, 11% diklik dina kantétan.

Sadaya masalah ieu direngsekeun ku infrastruktur konci umum perusahaan (PKI), anu nyayogikeun enkripsi sareng auténtikasi surat, sareng ngagentos kecap akses sareng sertipikat digital. Infrastruktur ieu tiasa diangkat dina Windows Server. Numutkeun kana pedaran ti MicrosoftActive Directory Certificate Services (AD CS) mangrupikeun server anu ngamungkinkeun anjeun nyiptakeun PKI dina organisasi anjeun sareng nganggo kriptografi konci umum, sertipikat digital, sareng tanda tangan digital.

Tapi solusi Microsoft cukup mahal.

Total Biaya Kapamilikan pikeun Otoritas Sertipikat Pribadi ti Microsoft

Alternatif Microsoft pikeun Otoritas Sertipikat
Babandingan biaya kapamilikan Microsoft CA sareng GlobalSign AEG. sumber

Dina seueur kaayaan, langkung merenah sareng langkung mirah pikeun nyiptakeun otoritas sertifikasi swasta anu sami, tapi kalayan manajemén éksternal. GlobalSign Auto Enrollment Gateway (AEG) ngarengsekeun masalah ieu. Sababaraha garis biaya teu kaasup tina total biaya kapamilikan (meuli parabot, waragad rojongan, latihan tanaga, jsb). Tabungan tiasa ngaleuwihan 50% tina total biaya kapamilikan.

Naon AEG

Alternatif Microsoft pikeun Otoritas Sertipikat

Otomatis Enrollment Gateway (AEG) mangrupikeun jasa parangkat lunak anu bertindak salaku gerbang antara jasa sertipikat SaaS GlobalSign sareng lingkungan perusahaan Windows.

AEG ngahiji sareng Active Directory, ngamungkinkeun organisasi ngajadikeun otomatis pendaptaran, penyediaan sareng ngokolakeun sertipikat digital GlobalSign dina lingkungan Windows. Ku ngagentos CA internal sareng jasa GlobalSign, perusahaan ningkatkeun kaamanan sareng ngirangan biaya ngatur Microsoft CA internal anu rumit sareng mahal.

Layanan Sertipikat GlobalSign SaaS mangrupikeun pilihan anu langkung aman tibatan sertipikat anu lemah sareng teu diurus dina infrastruktur anjeun nyalira. Ngaleungitkeun kabutuhan pikeun ngatur CA internal anu intensif sumberdaya ngirangan total biaya kapamilikan PKI ogé résiko gagal sistem.

Rojongan pikeun protokol SCEP sareng ACME ngalegaan dukungan saluareun Windows, kalebet penerbitan sertipikat otomatis pikeun server Linux, mobile, jaringan sareng alat anu sanés, ogé komputer Apple OSX anu kadaptar dina Active Directory.

Kaamanan ditingkatkeun

Salian ngahemat anggaran, manajemén PKI éksternal ningkatkeun kaamanan sistem. Salaku nyatet dina ulikan Grup Aberdeen, sertipikat beuki jadi sasaran ku panyerang, anu hasil mangpaatkeun kerentanan dipikawanoh kayaning sertipikat timer ditandatanganan lemah, enkripsi lemah sareng mékanisme panyabutan panyabutan. Salaku tambahan, panyerang parantos ngawasaan eksploitasi anu langkung canggih, sapertos curang ngaluarkeun sertipikat ti CA anu dipercaya sareng ngajalin sertipikat penandatanganan kode.

"Kaseueuran perusahaan henteu cekap proaktif dina ngatur résiko anu aya hubunganana sareng serangan ieu sareng henteu siap ngaréspon gancang kana tradeoffs," kuring nulis Derek E. Brink nyaéta wakil presiden sareng sasama kaamanan IT di Aberdeen Group. "Ku ngamungkinkeun perusahaan pikeun nempatkeun aspék operasional manajemén sertipikat dina tangan para ahli bari ngajaga kontrol perusahaan kana kawijakan grup di Active Directory, GlobalSign boga tujuan pikeun ngaktifkeun pertumbuhan hareup dina pamakéan sertipikat ku alamat kaamanan praktis jeung masalah kapercayaan dina efisien, cost- modél panyebaran anu efektif."

Kumaha AEG dianggo?

Alternatif Microsoft pikeun Otoritas Sertipikat

Sistem AEG anu umum ngawengku opat komponén konci pikeun mastikeun yén sertipikat anu leres diteruskeun ka titik aksés anu leres:

  1. software AEG dina server Windows.
  2. Server Diréktori aktip atanapi pangendali domain anu ngamungkinkeun pangurus ngatur sareng nyimpen inpormasi ngeunaan sumber.
  3. Endpoints: pamaké, alat, server jeung workstations-ampir sagala entitas nu mangrupakeun "konsumen" sertipikat digital.
  4. Otoritas Sertipikat GlobalSign atanapi GCC, anu linggih di luhureun platform penerbitan sareng manajemén sertipikat anu dipercaya. Ieu dimana sertipikat dihasilkeun.

Tilu tina opat komponén anu dipidangkeun aya di tempat palanggan, sareng anu kaopat aya dina méga.

Mimiti, titik tungtung tos dikonpigurasi nganggo kawijakan grup: contona, verifikasi sertipikat pikeun auténtikasi pangguna, pamundut S/MIME pikeun sertipikat, sareng saterasna, pikeun sambungan salajengna ka server AEG. Sambunganna aman via HTTPS.

Pangladén AEG naroskeun Active Directory via LDAP pikeun ménta daptar témplat sertipikat pikeun titik tungtung ieu, sareng ngirim daptar ka klien sareng lokasi otoritas sertipikat. Saatos nampi aturan ieu, titik tungtung nyambung deui ka server AEG, waktos ieu kanggo nyuhunkeun sertipikat anu saleresna. AEG dina gilirannana nyieun panggero API kalawan parameter nu tangtu sarta ngirimkeunana ka GlobalSign Certificate Authority atanapi GCC pikeun diolah.

Tungtungna, backend GCC ngolah pamundut, biasana dina sababaraha detik, sareng ngirim réspon kana API sareng sertipikat anu bakal dipasang dina titik-titik upami dipénta.

Sakabéh prosés butuh sababaraha detik sarta bisa pinuh otomatis ku ngonpigurasikeun titik tungtung pikeun otomatis ménta sertipikat ngagunakeun kawijakan grup.

Fitur AEG unik

  • Anjeun tiasa ngadaptar ngaliwatan platform MDM.
  • Dimekarkeun ku urut pagawé ti tim Microsoft Crypto.
  • solusi Clientless.
  • Palaksanaan saderhana sareng manajemén siklus hirup.

Alternatif Microsoft pikeun Otoritas Sertipikat
Conto arsitéktur

Ku kituna, manajemén PKI éksternal ngaliwatan Gerbang GlobalSign AEG hartina ngaronjat kaamanan, hemat ongkos jeung ngurangan résiko. Kauntungan sejen nyaeta scalability gampang jeung ngaronjat kinerja. manajemén PKI ditangtoskeun ensures uptime lila, eliminates gangguan operasi misi-kritis alatan sertipikat teu valid, sarta nawarkeun karyawan jauh, aksés aman kana jaringan parusahaan.

AEG Ngarojong rupa-rupa pamakean kasus anu merlukeun auténtikasi dua-faktor: ti klien workgroup jauh ngakses jaringan via VPN jeung Wi-Fi, nepi ka aksés husus ka sumberdaya kacida sénsitip ngaliwatan kartu pinter.

GlobalSign mangrupikeun pamimpin global dina nyayogikeun méga sareng jaringan PKI identitas sareng solusi manajemén aksés. Kanggo inpo nu langkung lengkep ihwal produk, mangga ngahubungan manajer urang.

sumber: www.habr.com

Tambahkeun komentar