我应该如何记录我的公钥基础设施?

信息安全 证书 公钥基础设施 研究 建筑学 文件
2021-09-12 19:40:39

我正准备记录一个 3 层 PKI(具有多个二级策略 CA),并希望创建一个对非 PKI 专家来说有用、技术性强且不会过于繁重的文档。

我想观众可以分为以下几个角色

  • 申请证书的人
  • 批准证书的管理员
  • 未来取代我的技术 PKI 管理员

可能有更多的角色,但我不想为自己创造任何不必要的工作。没有人要求这些信息本身,但我知道我收集的这些知识需要存储在某个地方。

问题

  • PKI 管理员应该为哪些受众生成文档?
  • 相应的文档中应包含哪些技术事实?
  • 每个文档中哪些内容应该超出范围(太详细或太简单)?

这类问题来自 1998 年的 MCSE 思考,微软在其中拥有 Windows 各个方面的模板文档和清单。如果其他供应商(Entrust 等)有相关的样本文档,这对构建我的想法很有用。

2个回答

你至少需要:

  • 描述证书生命周期中涉及的过程的文件:

    *申请新证书

    *证书撤销

    *证书更新

既适用于管理员也适用于用户(每个进程可能有两个不同的文档)

  • 通用架构文档,描述 CA 级别及其目的

在我看来,这是最低限度的。根据谁管理证书以及他们的专业水平,各种带有屏幕截图的教程文档可能会很有用。

PKI-administrator 并不是一个定义明确的角色,因此他的文档范围在这里很模糊。

作为首席信息安全官,我将确保存在以下文件:

  • 系统管理文档,适用于技术受众 - 需要设置服务器和客户端(配置、架构等)的系统管理员。一些有趣的观点还可以解决系统管理员可以更改和不能更改的问题,而无需提出安全/法律问题。
  • 用户文档 - 简单的“遵循指南”文档,说明如果您想执行此操作(启动指南、日常使用、续订或撤销等特定任务)
  • 法律/合规性文件——明确描述为确保遵守义务而采取的措施,或为降低风险分析中的风险而采取的措施。简短的想法:审计员的文件。

在您的特定情况下,还可能有为证书颁发机构负责人量身定制的特定文档(如何验证 CSR 和验证请求证书的人,如何签署 CSR 等)以及说明您的内容的证书颁发机构政策文档作为 CA 的保证。

其它你可能感兴趣的问题
上一篇PGP问题从2天前解密我自己的消息 下一篇基于云的WAF