PKI w firmie – jak wdrożyć własny urząd certyfikacji

Coraz więcej firm potrzebuje certyfikatów tam, gdzie publiczny urząd certyfikacji się nie sprawdza – w sieci Wi-Fi, VPN czy wewnętrznych aplikacjach. Odpowiedzią jest własna infrastruktura klucza publicznego, czyli PKI, którą MŚP mogą wdrożyć znacznie prościej, niż mogłoby się wydawać.

Czym jest PKI i dlaczego małe firmy zaczynają je wdrażać

PKI, czyli Public Key Infrastructure, to zestaw usług i reguł pozwalających firmie wystawiać, dystrybuować i odwoływać własne certyfikaty cyfrowe. W dużym uproszczeniu – zamiast kupować certyfikat SSL u zewnętrznego dostawcy do każdego wewnętrznego zastosowania, firma staje się własnym urzędem certyfikacji (CA) dla swoich urządzeń i użytkowników.

Przez lata PKI kojarzyło się głównie z korporacjami i bankami, ale zmiana podejścia do bezpieczeństwa sieci sprawia, że coraz więcej MŚP sięga po tę technologię. Powód jest prosty: uwierzytelnianie oparte na hasłach traci grunt, a certyfikaty dają znacznie mocniejszą i trudniejszą do przechwycenia formę tożsamości urządzenia lub użytkownika.

W środowisku Windows najpopularniejszym narzędziem do budowy PKI jest Active Directory Certificate Services (AD CS) – rola dostępna w Windows Server, zintegrowana z Active Directory, którą można wdrożyć bez dodatkowych licencji ponad te, które firma i tak już posiada.

Kiedy wewnętrzny urząd certyfikacji ma sens w MŚP

Nie każda firma potrzebuje własnego PKI, ale są konkretne scenariusze, w których zwraca się ono bardzo szybko. Najczęstsze zastosowania to:

  • Uwierzytelnianie w sieci Wi-Fi i przewodowej (802.1X) – certyfikaty zamiast współdzielonego hasła do sieci firmowej, znacznie trudniejsze do wycieku
  • Dostęp VPN i RDP – logowanie certyfikatem eliminuje ryzyko przejęcia samego hasła
  • Wewnętrzne strony i aplikacje HTTPS – intranet, panele administracyjne, systemy ERP dostępne tylko w sieci firmowej
  • Podpisywanie i szyfrowanie poczty S/MIME – certyfikaty dla pracowników bez ponoszenia kosztów certyfikatów komercyjnych
  • Podpisywanie skryptów i sterowników – kontrola nad tym, jaki kod uruchamia się w środowisku firmowym

Jeśli firma korzysta z któregokolwiek z tych mechanizmów, a obecnie opiera się na certyfikatach samopodpisanych lub hasłach współdzielonych, wewnętrzne PKI szybko poprawi bezpieczeństwo i wygodę zarządzania.

Wdrożenie Active Directory Certificate Services krok po kroku

  1. Zaplanuj hierarchię CA – standardem jest model dwupoziomowy: Root CA (offline, wyłączony po konfiguracji) oraz Issuing CA (online, podłączony do domeny, codziennie wystawiający certyfikaty)
  2. Zainstaluj Root CA – najlepiej na osobnej, odizolowanej maszynie wirtualnej lub fizycznej bez podłączenia do sieci, z rolą Active Directory Certificate Services i konfiguracją Standalone Root CA
  3. Wystaw certyfikat dla Issuing CA – Root CA podpisuje certyfikat pośredniego urzędu, po czym zostaje wyłączony i przechowywany w bezpiecznym miejscu
  4. Skonfiguruj Issuing CA jako Enterprise CA – dzięki integracji z Active Directory szablony certyfikatów i uprawnienia można zarządzać centralnie z poziomu domeny
  5. Zdefiniuj szablony certyfikatów – osobne szablony dla stacji roboczych, użytkowników, kontrolerów RADIUS czy serwerów WWW, każdy z odpowiednim okresem ważności i przeznaczeniem klucza
  6. Publikuj CRL i punkt dystrybucji – lista odwołanych certyfikatów musi być dostępna dla wszystkich urządzeń, które mają weryfikować ważność certyfikatów

Cały proces da się przeprowadzić w środowisku testowym w ciągu jednego dnia, ale warto zaplanować go z zespołem, który na co dzień zajmuje się wdrożeniami serwerów – błędy w hierarchii CA są trudne do naprawienia bez przebudowy całej infrastruktury.

Automatyczna dystrybucja certyfikatów – autoenrollment i Intune

Ręczne wystawianie certyfikatów dla każdego komputera i użytkownika nie skaluje się nawet w małej firmie. Dlatego kluczowym elementem wdrożenia jest automatyzacja dystrybucji.

W środowisku domenowym Active Directory pozwala skonfigurować autoenrollment przez zasady grupy – komputery i użytkownicy automatycznie pobierają odpowiednie certyfikaty z Issuing CA przy logowaniu, bez udziału administratora. Wystarczy nadać uprawnienia do szablonu certyfikatu i włączyć politykę autoenrollment w GPO.

Dla urządzeń zarządzanych przez Microsoft Intune certyfikaty można dystrybuować za pomocą profili SCEP lub PKCS, które łączą się z wewnętrznym CA przez odpowiedni konektor. Dzięki temu również laptopy i telefony poza siecią firmową otrzymują certyfikaty bez ręcznej interwencji – to szczególnie istotne przy pracy hybrydowej i modelu BYOD.

Bezpieczeństwo urzędu certyfikacji – klucz prywatny, CRL i OCSP

Cała infrastruktura PKI opiera się na jednym założeniu: klucz prywatny Root CA nigdy nie zostaje skompromitowany. Jeśli do tego dojdzie, każdy certyfikat wystawiony w hierarchii traci wiarygodność, a odbudowa zaufania oznacza wymianę certyfikatów we wszystkich urządzeniach.

  • Root CA powinien pozostawać wyłączony i odłączony od sieci poza chwilami, gdy podpisuje certyfikat dla Issuing CA
  • Klucz prywatny warto przechowywać na module HSM lub przynajmniej na zaszyfrowanym, odizolowanym nośniku
  • Dostęp administracyjny do CA należy ograniczyć zasadą najmniejszych uprawnień i rejestrować w logach audytowych
  • CRL i usługa OCSP muszą być zawsze dostępne – bez nich urządzenia nie sprawdzą, czy dany certyfikat nie został odwołany

Warto też zaplanować regularny audyt bezpieczeństwa infrastruktury PKI, szczególnie po każdej większej zmianie w sieci firmowej lub po incydencie bezpieczeństwa.

Utrzymanie PKI – odnawianie, odwoływanie i audyt certyfikatów

Wdrożenie PKI to dopiero początek – infrastruktura wymaga stałej opieki. Certyfikaty mają określony czas ważności i muszą być odnawiane, zanim wygasną, inaczej urządzenia stracą dostęp do sieci lub aplikacji z dnia na dzień.

Równie ważne jest odwoływanie certyfikatów po odejściu pracownika lub utracie urządzenia – proces ten powinien być częścią standardowej procedury offboardingu IT. Certyfikat pozostawiony bez odwołania to furtka, która może posłużyć do nieautoryzowanego dostępu długo po zwolnieniu pracownika.

Dobrą praktyką jest comiesięczny przegląd wystawionych certyfikatów, monitorowanie zbliżających się terminów wygaśnięcia oraz test odtworzenia CA z kopii zapasowej – podobnie jak w przypadku każdej krytycznej usługi infrastrukturalnej, warto mieć pewność, że w razie awarii urząd certyfikacji da się szybko przywrócić.

Certyfikat z publicznego CA a certyfikat z wewnętrznego PKI
KryteriumPubliczny urząd certyfikacjiWewnętrzne PKI (np. AD CS)
Typowe zastosowanieStrony i usługi dostępne publicznie w internecieWi-Fi, VPN, RDP, intranet, S/MIME, podpisywanie skryptów
KosztOpłata za certyfikat lub abonament u dostawcyKoszt infrastruktury serwerowej, bez opłat za certyfikat
Zaufanie urządzeńDomyślnie zaufany przez przeglądarki i systemyWymaga zainstalowania certyfikatu root CA na urządzeniach
Czas życia certyfikatuZwykle do 47 dni wg nowych zasad branżowychDowolny, ustalany samodzielnie w polityce firmy
Kontrola nad wystawianiemOgraniczona do ustawień u dostawcyPełna kontrola nad szablonami i uprawnieniami

Chcesz wdrożyć własne PKI bez ryzyka błędów konfiguracyjnych?

Zespół NovaSys zaprojektuje i wdroży hierarchię urzędów certyfikacji dopasowaną do Twojej infrastruktury, skonfiguruje autoenrollment i zadba o bezpieczeństwo klucza prywatnego od pierwszego dnia.

Skonsultuj wdrożenie PKI Bezpłatna konsultacja