传统PKI高昂的机会成本

作者：LARRY SELTZER

数字证书错误所导致的企业应用程序中断不仅令人沮丧——而且其代价高昂。在您使用传统公钥基

础设施（PKI）系统的过程中，这类中断极为常见。

其中的一个重要问题是，依赖于传统PKI系统的IT环境需要付出大量努力来维护，而且无法达到当前

和不断发展的安全标准。许多环境根本无法充分实现现代化，因此不能支持新式技术计划和安全发展。

新式PKI能够改进管理并提高可靠性，而且不需要推翻并取代现有技术。如果您想保持安全性和竞争

力，那么现在正是通过现代化来优化PKI系统的时机。

PKI现状

PKI的目的是，在一个默认任何用户或系统都不可信任的世界里，在我们的网络内外建立信任。为了

做到这一点，许多组织在整个企业及多类软件中使用加密操作。一些常见的例子是移动设备管理（M

DM）、VPN、微服务环境（通常运行Kubernetes），以及IoT设备管理。

但这些PKI应用程序往往是孤立的、彼此不关联的，实际上就是“PKI孤岛”，它们是同一网络中不相

关的PKI实施。最好的结果是增加开销——孤岛必须单独管理，往往使用不同的工具，甚至可能由不

同的团队管理。如果没有适当的协调，这些实施往往会出现冲突。

数字证书、加密敏捷性和PKI环境

PKI身份验证中使用的主要资源是数字证书，它确认接受身份验证的对象。如果证书出现问题，那么依

赖证书的系统可能会出故障，导致业务中断并可能造成合规问题。

证书难以管理的部分原因是其数量庞大，一家企业内往往就有数万个证书。一旦证书颁发，时钟就开始

滴答作响：最常见的公共可信TLS证书的最长有效期为398天，约13个月。证书颁发机构/浏览器（CA/B）

论坛是制定这类标准的机构，该机构已经将证书最长有效期逐步缩短到47天。

如果没有自动化，就不可能管理好数量如此庞大的短期证书。尽管如此，许多组织仍在手动管理数字证

书，这为错误敞开了大门。

在PKI管理不善导致的中断和GRC故障中，证书过期只是原因之一，但这是最常见的原因。在一个庞大而

复杂的企业中，相关负责人甚至可能都不知道企业有哪些证书。在这种混乱的情况下，没有制定技术或预

算计划的可能性。

从长远来看，还有其他问题：行业标准的变化有时缓慢，有时迅速。对证书的审计可以确定，您所依赖的

标准已经过时。

即使这些标准现在还没有过时，也会在未来几年过时，在未来几年，PKI技术将引入许多新标准，以应对

使用量子计算机的攻击威胁。如果企业拥有能让策略在全球应用的新式敏捷加密系统，就能快速适应新的

后量子加密（PQC）标准。

发现和清点

要为混乱的PKI建立秩序，就要从发现开始。新式PKI定期扫描网络中所有可访问的部分，查找现有证书并

创建清单（最好作为资产追踪系统的一部分），IT可以使用该清单进行规划。

一个好的发现过程应该能识别许多类型的证书，例如SSL/TLS证书、代码签名证书、SSH和S/MIME证书—

—而不论证书由哪家颁发证书机构所颁发——并且有能力发现多个PKI孤岛。

在发现过程中，您将建立证书的所有权，将生命周期管理和预算报告职责分配给适当的人员，同时建立使

用PKI的应用程序的清单和所有权。

集中式发现，分散式使用

对于复杂企业的最优设计是采用集中式的PKI治理和监督，但同时采用分散式的证书使用和生命周期管理。

这意味着整个企业中的团队可以根据公司政策管理自己的证书获取和使用。与大多数云软件一样，新式P

KI在提供一定程度的自助服务时效果最佳。

多样化的工作负载和灵活的部署模式

新式PKI系统适用于任何类型设备上的任何工作负载，包括Kubernetes集群等新式架构和自托管VPN等传

统系统。与企业架构进行无缝互操作和集成的能力必不可少。

混合式企业非常重要，但尤其棘手。单个逻辑应用程序可能在本地系统和多个云中有组件。它可能还需要

管理已嵌入专有设备的客户端证书和供应商证书。复杂的企业可能有在不同司法管辖区独立运营的单元，

这些单元面临不同的法律要求，并需要灵活性来进行适当的管理。新式PKI系统应该支持所有应用程序组件

的证书管理。

最后，该系统需要使用标准和专有接口与企业生态系统中的相关软件集成。PKI生态系统是广泛、复杂的，

并且没有完全实现标准化。好的新式PKI可直接与Amazon Web Services、Windows和Azure上的Microsoft 

Active Directory以及HashiCorp等主要参与者集成，以简化发现过程并建立集中式治理。大型企业通常有实

施相同标准但具有不同接口和应用程序的多个系统。

工作流程、自动化和报告

新式PKI系统实现了关键程序和工作流程的正式化，例如记录保存以及证书吊销和其他事件所需的审批。它

应该实现常规和动态用例的自动化以改善用户体验，降低管理开销，并减少导致中断和安全事件的错误配置

机会。

该系统还应提供许多默认报告和定制化报告的能力，例如：

◆  库存报告

◆  过期证书和即将过期证书的报告

◆  被吊销证书的报告

◆  证书如何符合企业安全策略、行业标准和相关政府法规的报告。