Artykuł pochodzi z wydania: Maj 2024
Infrastruktura PKI, mimo że nie jest już najmłodszym rozwiązaniem, nadal stanowi jedno z bezpieczniejszych podejść do uwierzytelniania. W przypadku usług firmy Microsoft jak dotąd dostępna była jedynie w przypadku lokalnych serwerów. Obecnie PKI pojawia się jako usługa chmurowa.
W systemach informatycznych kluczową rolę odgrywa odpowiednia identyfikacja użytkowników. Możemy wykorzystywać do tego wiele różnych metod uwierzytelniania. Jedną z nich jest weryfikacja zgodności loginu użytkownika w celu jego zidentyfikowania oraz hasła, aby sprawdzić jego tożsamość. Niezaprzeczalnie jest to najczęściej stosowany mechanizm uwierzytelniania, niemniej jednak nie jest to najbezpieczniejsza forma weryfikacji tożsamości.
Znacznie bezpieczniejsze jest uwierzytelnianie oparte na certyfikatach, które jest najczęściej wykorzystywane w przypadku uzyskiwania dostępu do sieci firmowych. Aby mogło być ono zastosowane, niezbędne jest wdrożenie w naszej infrastrukturze lokalnego urzędu certyfikacji (certification authority) dystrybuującego certyfikaty dla urządzeń lub samych użytkowników końcowych. Jak dotąd w przypadku rozwiązań firmy Microsoft konieczne było wykorzystanie przeznaczonego do tego serwera z zainstalowaną rolą Active Directory Certificate Services. Jednakże od niedawna została udostępniona chmurowa wersja prywatnego urzędu certyfikacji.
> MICROSOFT CLOUD PKI
Usługa Microsoft Cloud PKI (ang. public key infrastructure) w przeciwieństwie do jej serwerowego odpowiednika, jest usługą bazującą typowo na rozwiązaniach SaaS. Wykupując odpowiednią usługę chmurową, dostajemy dostęp do prywatnego urzędu certyfikacyjnego bez konieczności martwienia się o całą infrastrukturę wymaganą do jej obsługi.
W przeciwieństwie do chmurowych urzędów certyfikacji firm trzecich rozwiązanie Microsoftu nie jest niezależną usługą. Jest ona traktowana jako rozszerzenie (add-on) do usługi zarządzania stacjami roboczymi Microsoft Intune. Aby móc z niego skorzystać, konieczne jest wcześniejsze wykupienie dedykowanych licencji. W zależności od potrzeb możemy wybrać tańszą formę, czyli wykupienie autonomicznej licencji rozszerzeń Intune, usługi Microsoft Cloud PKI. Możemy również skorzystać z droższej, ale za to bogatszej w funkcjonalności opcji, czyli wykupić szery pakiet rozszerzeń Microsoft Intune Suite.
> URZĘDY CERTYFIKACJI
Aby w ramach usługi Microsoft Intune zintegrować rozwiązanie Microsoft Cloud PKI, musimy wdrożyć je w konfiguracji wielowarstwowej. W pierwszym kroku wdrażamy co najmniej jeden główny urząd certyfikacji (Root CA). Dopiero po jego utworzeniu możemy przejść do tworzenia urzędów certyfikacji wystawiających certyfikaty (Issuing CA). Wyjątkiem może być tutaj jedynie sytuacja, w której mamy już własny Root CA w infrastrukturze lokalnej. Wtedy możemy utworzyć Issuing CA bazujące na tak zwanym bring your own Root CA (BYOCA).
Najczęściej wykorzystywanym scenariuszem jest wdrożenie jednego głównego urzędu certyfikacji oraz jednego urzędu wystawiającego certyfikaty. Wspomniane rozwiązanie zostało przedstawione w ramce Krok po kroku: Budowanie infrastruktury PKI.
Usługa chmurowej infrastruktury PKI ma jednak ograniczenia, o których warto pamiętać. Głównym z nich jest możliwość utworzenia maksymalnie sześciu urzędów certyfikacji. Przy czym jako instancję urzędu certyfikacji zaliczamy: główny urząd certyfikacji, urząd wystawiający certyfikaty, jak i urząd wystawiający na bazie BYOCA. Usługa Microsoft Cloud PKI jest stosunkowo młodym rozwiązaniem, dlatego dodatkowym ograniczeniem jest brak możliwości usuwania urzędów certyfikacji bezpośrednio z konsoli zarządzania. Obecnie w celu usunięcia zbędnego urzędu certyfikacji konieczne jest założenie zgłoszenia serwisowego do firmy Microsoft. Niestety w połączeniu z limitem wdrażanych CA wymaga to rozważnego i wcześniej zaplanowanego wdrożenia własnego rozwiązania infrastruktury PKI. Dodatkowo samo rozwiązanie na chwilę obecną nie wspiera rozwiązania weryfikacji certyfikatów OCSP (Online Certificate Status Protocol). Weryfikacja certyfikatów jest natomiast dostępna za pomocą mechanizmu CRL (Certificate Revocation List).
[…]
Michał Gajda
Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze chmurowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.