Margir hafa velt því fyrir sér að setja upp Certificate Authority (CA) skilríkjaþjónustu í sínum umhverfum og standa þá frami fyrir nokkrum spurningum. Sérstaklega þegar viðkomandi hefur ekki sett upp þjónustuna áður. Ein af þeim spurningum sem fólk stendur líklega hvað oftast frami fyrir er hversu marga þjóna eigi að setja upp og hvort, og þá hvernig, dreifa eigi hlutverkum á mismunandi netþjóna.

Til að einfalda ákvörðunina varðandi fjölda netþjóna og þrepa sem hentar umhverfinu er hér smá samantekt á mismunandi uppbyggingum og þrepaskiptingum sem mögulega er hægt að fara. Að sjálfsögðu má blanda þessu saman og ekki er víst að ákveðin tegund uppsetningar henti í viðkomandi tilfelli en samantekt þessi ætti að hjálpa til við ákvörðun um hverskonar þrepaskipting verður fyrir valinu.

Eins þrepa uppbygging (e. single-tier)

Sum fyrirtæki þurfa bara grunnuppsetningu á skilríkjaþjónustu. Þetta eru fyrirtæki með færri en 100 notendur og þar sem sérstaks öryggis er ekki krafist. Einn CA þjónn er þá settur upp sem enterprice root CA.
Þjónninn er þá hafður meðlimur í Active Directory umhverfinu og gefur hann út skýrteini fyrir útstöðvar, notendur, þjónustur eða netbúnað í því umhverfi.

Forðast ætti eins og hægt er að seta enterprice root CA upp á lénastjóra (e. domain controller). Að blanda saman hlutverkum CA og lénastjóra getur valdið vandræðum síðar ef t.d. þarf að færa CA þjónustuna yfir á anna netþjón. Ekki er hægt að gera ýmsar breytingar á netþjóninum eftir að CA þjónustan hefur verið sett upp á honum eins og nafni þjónsins sem dæmi.

Einn þjónn fyrir þetta hlutverk þýðir augljóslega að umsjón og rekstur verður auðveldari. Vandamálið er hins vegar einna helst að ef CA þjónninn fer niður eða næst ekki samband við hann, þá er ekki hægt að sinna beiðnum um útgáfu nýrra skilríkja, endurútgáfu skilríkja né gefa út lista yfir skilríki sem búið er að afturkalla (e. revocation list) fyrr en þjónninn kemst í gagnið aftur.

Eins þrepa uppbygging á CA er vanalega notuð þar sem þörf er á einfaldri umsjón, halda þarf kostnaði í lágmarki eða ef öryggisstefna fyrirtækis krefst ekki að settur sé upp rótarþjónn sem aftengdur er umhverfinu (e. offline root).

Tveggja þrepa uppbygging (e. two-tier)

Tveggja þrepa uppbygging á CA þjónustunni byggist á því að til sé einn rótarþjónn fyrir CA sem er ekki tengdur AD léni og rekinn alveg sér (e. offline root). Á þrepi tvö geta verið einn eða fleiri þjónar eftir þörfum. Þeir þjónar sem sjá um útgáfu á skilríkjum á öðru þrepi (e. issuing) keyra saman þjónustur sem kallast policy CA og issuing CA þjónustur.

Til að tryggja öryggi í tveggja þrepa uppbyggingunni er rótarþjónninn hafður sjálfstæður (e. standalone). Ekki er þá þörf á því að rótarþjónninn sé aðgengilegur að neinu leyti og það gerir hann
öruggari fyrir árásum á netlaginu og minnkar aðgengi að þjóninum. Ekki er þörf á því að rótarþjónninn tengist öðrum vélum á netlaginu.

Í fjölþrepa uppbyggingu skiptir ekki máli hvaða þjónn á þrepi tvö gefur út skírteini. Það sem skiptir máli er að skírteini sem gefin eru út á þessu þrepi séu búin til út frá viðkomandi og sama rótarskírteini.

Til að auka aðgengi að þeirri þjónustu í CA uppbyggingunni sem sér um útgáfu skilríkjanna þarf að keyra þá þjónustu á fleiri en einum netþjóni. Þetta tryggir áframhaldandi þjónustu þó svo að einn þjónninn bili. Fjöldi þeirra þjóna sem gefa út skilríki veltur á stærð umhverfisins og þörfum.

Þriggja þrepa uppbygging (e. three-tier)

Þriggja þrepa uppbygging á CA þjónustunni veitir mest öryggi og sveigjanleika. Þannig uppbygging samanstendur af:

• Einum rótarþjóni sem hafður er sjálfstæður og ótengdur AD umhverfinu.
• Einum eða fleiri netþjónum sem keyra policy CA þjónustu. Einnig er hægt að hafa þá þjóna sjálfstæða og ótengda umhverfinu.
• Einn eða fleiri þjónar sem sjá um útgáfu á skilríkjum. Þeir þjónar (einn eða fleiri) eru tengdir AD umhverfinu og settir upp þannig.
• Þriggja þrepa uppbygging er góður kostur við eftirfarandi aðstæður:
• Mikils öryggis er krafist vegna aðgengi að CA þjónum. Tvö neðri lög uppbyggðarinnar þurfa ekki að vera tengd AD umhverfinu og hægt er því að einangra þær vélar netlega.
• Þegar þörf er á útgáfu skírteina á mismunandi gæðastigum (e. assurance levels) eða þörf er á stillingum út frá mismunandi gæðastefnum. Ef þörf er á mismunandi ráðstöfunum til að staðfesta að útgefið skírteini sé rétt gæti verið þörf á því að hafa tvo þjóna sem keyra policy CA stig þjónustunnar. Sem dæmi má nefna að þörf gæti verið á því að mismunandi starfsvenjur séu í gangi út frá því hvort notandi er starfsmaður eða verktaki hjá fyrirtækinu.
• Ef umsjón með netþjónum er skipt niður á milli mismunandi umsjónarmanna. Sem dæmi má nefna ef rekin er sér CA þjónusta í Evrópu og önnur í Asíu eða í Reykjavík og á Akureyri. Í þeim tilfellum gæti ábyrgð og umsjón með þjónustunum verið í höndum mismunandi aðila og þörf á ólíkum stillingum vegna ólíkra starfsvenju.

Fjögura þrepa uppbygging (e. four-tier)

Í mjög stórum og flóknum umhverfum getur verið þörf á fjögurra þrepa uppbyggingu. Ekki er þó mælt með því að hafa fleiri en fjögur þrep í CA þjónustum. Í fjögurra þrepa uppbyggingu eru þjónar sem sjá um útgáfu á skírteinum (e. issuing) staðsettir bæði í þrepi þrjú og fjögur. Rótarþjónn og policy CA þjónn eru þá hafðir ótengdir umhverfinu og keyra sjálfstætt.

Höfundur: Björn Heimir Moritz Viðarsson, Kerfisstjóri, Hýsing og rekstur, Advania

Heimildir: Windows Server 2008 PKI and Certificate Security, Brian Komar, ISBN-10: 0735625166