Come dovrei documentare la mia infrastruttura a chiave pubblica?

5

Mi sto preparando a documentare una PKI a 3 livelli (con più CA di criteri di secondo livello) e voglio creare un documento che sia utile, tecnico e non troppo travolgente per l'esperto non-PKI.

Suppongo che il pubblico possa essere suddiviso nei seguenti ruoli

  • Le persone che richiedono i certificati
  • Amministratori che approvano i certificati
  • Amministratori PKI tecnici che mi sostituiranno in futuro

Potrebbero esserci più ruoli, ma non voglio creare alcun lavoro non necessario per me stesso. Nessuno sta chiedendo queste informazioni di per sé, ma so che questo corpus di conoscenze che ho raccolto deve essere archiviato da qualche parte.

Domanda

  • Quali destinatari dovrebbe un amministratore di PKI generare documentazione?
  • Quali fatti tecnici dovrebbero essere contenuti nella rispettiva documentazione?
  • Cosa dovrebbe essere fuori ambito (troppo dettagliato o troppo semplice) in ogni documento?

Questo tipo di domanda viene dal 1998 pensando come MCSE in cui Microsoft aveva documentazione di modello e liste di controllo per vari aspetti di Windows. Se altri fornitori (Entrust, ecc.) Hanno una documentazione campionaria pertinente che sarebbe utile per strutturare il mio modo di pensare.

    
posta random65537 18.02.2015 - 17:35
fonte

2 risposte

4

Hai almeno bisogno di:

  • documenti per descrivere i processi coinvolti nei cicli di vita dei certificati:

    * richiesta di un nuovo certificato

    * revoca del certificato

    * rinnovo certificato

sia per gli amministratori che per gli utenti (probabilmente due documenti diversi per ogni processo)

  • un documento di architettura generale, che descrive i livelli di CA e il loro scopo

Questo è secondo me il minimo indispensabile. A seconda di chi gestisce i certificati e qual è il loro livello di competenza, vari documenti tutorial con schermate e così via potrebbero essere utili.

    
risposta data 18.02.2015 - 17:57
fonte
2

L'amministratore PKI non è davvero un ruolo ben definito, quindi l'ambito della sua documentazione è vago qui.

In qualità di funzionario responsabile della sicurezza delle informazioni, assicurerei che esistano i seguenti documenti:

  • Documento di amministrazione del sistema, per un pubblico tecnico - sysadmin che ha bisogno di configurare server e client (configurazione, architettura, ...). Qualche punto interessante potrebbe anche risolvere ciò che può e non può essere modificato da sysadmin senza dover sollevare problemi di sicurezza / legali.
  • Documentazione utente - semplice documento "segui la guida" su cosa fare se vuoi farlo (guida di avvio, uso quotidiano, attività specifiche come rinnovo o revoca)
  • Documentazione legale / di conformità - una descrizione chiara delle misure adottate per garantire il rispetto degli obblighi o le misure adottate per ridurre un rischio dall'analisi dei rischi. Breve idea: documento per i revisori.

Nel tuo caso specifico, potrebbe esserci anche un documento specifico su misura per l'autorità di certificazione leader (come verificare la CSR e autenticare la persona che chiede il certificato, come firmare un CSR ecc.) e un documento di Policy Authority di certificazione che indica ciò che garantisce come CA.

    
risposta data 26.02.2015 - 13:34
fonte