Soluções MPKI

A autenticação, integridade e confidencialidade das transacções e comunicações são aspectos críticos, quer estas ocorram na Internet, Extranet ou mesmo Intranet. A infra-estrutura de segurança de uma organização constitui a base de confiança na rede, sendo a chave para assegurar a autenticação, privacidade e a não repudiação das operações. Assegurar-se de que as comunicações são seguras e os clientes, colaboradores, parceiros comerciais e consumidores podem comunicar online com a total confiança, tornou-se fundamental para as organizações no mundo globalizado de hoje.

Symantec SSL - Solução Managed PKI (OnSite)

A base desta solução Managed PKI (OnSite) é a sua tecnologia. Trata-se duma plataforma compreensiva, robusta e de nível empresarial, que oferece à organização o controle completo da sua segurança, confiança, políticas e arquitectura, usufruindo de todo o know-how e infra estrutura de serviços da MarketWare/Symantec SSL.

A solução OnSite disponibiliza todos os serviços de gestão do ciclo de vida dos certificados, suporte aplicacional e ferramentas de gestão necessárias para operar uma CA empresarial robusta a uma pequena fracção do custo e esforço associado às soluções “faça você mesmo”, enquanto oferece ao cliente um controle completo sobre as funcionalidades da Autoridade de Registo (RA).

Nesta solução, o cliente nomeia um (ou vários) Administrador do serviço OnSite (RA Admin), ao qual é atribuído um certificado digital para acesso ao Centro de Controle. Esse Administrador terá controle total e exclusivo sobre todo o ciclo de vida dos certificados, ou seja, terá autorização para rejeitar, emitir, revogar e renovar todos os certificados digitais.

Hierarquia: O primeiro passo do processo de implementação de uma CA consiste na geração da chave de assinatura de raiz. A protecção da chave de raiz é um componente crítico para assegurar a confiança de toda a CA. A MarketWare/Symantec SSL proporciona uma geração da chave de raiz segura e auditada, a qual é gravada em cassete e submetida a notário para a não repudiação de suporte.

Uma hierarquia pública consiste numa CA pública, ou seja, a hierarquia é herdada da Symantec SSL. A CA pública da Symantec SSL assina a chave de raiz da CA do cliente, sendo esta responsável pela assinatura de todas as potenciais sub-CAs. Em todos os certificados, o nome da organização é o listado na CA do cliente.

O cliente tem a possibilidade de possuir chaves de sub-CAs adicionais. Todas as sub-CAs estão directamente ligadas à CA de raiz do cliente. Cada uma das sub-CAs é independentemente gerida pelo cliente e opera segundo as normas definidas para a CA de raiz.

Este tipo de hierarquia é recomendado se os certificados forem utilizados, tanto no sistema interno do cliente, como externamente. A vantagem deste modelo é que todos os certificados tem a capacidade de se ligarem à hierarquia da Symantec SSL e, consequentemente tirar partido da interligação das suas chaves de raiz. A distribuição da chave de raiz da CA está garantida, uma vez que as chaves da Symantec SSL são parte integrante dos browsers, servidores e clientes de e-mail actualmente utilizados. Por exemplo, se um utilizador envia uma mensagem assinada de correio electrónico para outro utilizador que possui um certificado emitido por uma organização dentro da hierarquia pública da MarketWare/Symantec SSL, essa assinatura será automaticamente reconhecida como confiável, devido ao facto de estar directamente ligada a uma entidade externa globalmente referenciada como de confiança (a Symantec SSL).

Arquitectura PKI: Após a criação da hierarquia, cada sub-CA está apta para a emissão e distribuição de certificados digitais a partir desta PKI empresarial. A solução OnSite foi concebida para, facilmente, suportar a emissão de milhões de certificados. A atribuição destes certificados a várias sub-CAs é totalmente facultativa, embora o seja possível para a diferenciação de determinados departamentos ou projectos.

Funcionalidade: o diagrama seguinte demonstra a arquitectura da solução OnSite da MarketWare/Symantec SSL. Os itens à esquerda representam os utilizadores, hardware a aplicações do cliente. O lado direito deste diagrama resume os itens existentes no Data Center da MarketWare/Symantec SSL:

Subscrição de Certificados: O utilizador efectua uma ligação ao gestor da subscrição, que é um servidor web gerido pela CA e a utilizar os componentes OnSite da MarketWare/Symantec SSL, de forma a subscrever um certificado. Os pedidos de subscrição podem ser aprovados manualmente por empregados da organização com responsabilidades de operação da RA, ou automaticamente através do confronto entre os dados fornecidos e os dados contidos numa base de dados gerida pela organização (AutoAdmin).

Os pedidos aprovados são então enviados (através de ligações seguras) para a Symantec SSL, onde a CA apropriada cria um certificado digital X.509 v3 e assina o pedido. O certificado é entregue electronicamente à organização através de uma transmissão segura. O mesmo certificado pode ser escrito num serviço de directoria LDAP, e depois entregue ao cliente.

Os utilizadores finais podem utilizar os browsers da Microsoft, Netscape, ou outros, para efectuarem o seu pedido. Os empregados com responsabilidades administrativas podem estar localizados em qualquer parte, permitindo à organização uma distribuição de tarefas administrativas a localizações remotas.

Tolerância a Falhas e Disaster Recovery

O Data Center da MarketWare/Symantec SSL assegura uma disponibilidade óptima, i.e. ISPs múltiplos, POPs múltiplos, UPS e geradores a diesel. Em casos desastres naturais, a Symantec SSL possui na costa Este dos EUA outro Data Center com a capacidade de retomar o serviço em 24 horas. Ainda mais importante é facto de serem conduzidos simulações trimestrais de disaster recovery.
A tecnologia OnSite é web-based, proporcionando suporte a um grade número de sistemas operativos (NT, Win 2K, Solaris, and HP-UX).

Baixo custo

O custo total para implementar e manter uma PKI utilizando a solução OnSite é normalmente significativamente mais reduzido do que uma PKI inteiramente desenvolvida e operada in-house. Esta redução no custo total é devida à inexistência da necessidade de distribuição e manutenção de software proprietário, criação de instalações de alta segurança, compatibilidade com aplicações populares de negócios e criação de um disaster recovery. Todas estas funcionalidades estão integradas na solução OnSite.