4.5.1.1.Thời gian
Một trong những vấn đề lớn nhất của hệ thống PKI đó là thời gian. Có hai loại máy tính khác nhau đó là online và offline. Theo logic của người quản trị thông thường Khi máy tính kết nối vào mạng thì máy tính sẽ sử dụng máy chủ thời gian (time server). Một câu hỏi đặt ra là timeserver có đáng tin tưởng không không? Timeserver có thể làm nảy sinh ra hai vấn đề sau. Thứ nhất là tem thời gian thực sự từ timeserver và thứ hai là nguồn thời gian của timeserver có thực sự đáng tin không? Kết nối tới timeserver có thể được đảm
bảo an toàn theo công nghệ đường hầm (tunnel) giống như IPSec nhưng vấn đề thực sự là nguồn thời gian. Hầu hết các timeserver đều sử dụng đồng hồ sóng radio, nhận tín hiệu thời gian được từ trạm truyền sóng radio. Tín hiệu này rất dễ bị giả mạo bởi vì nó rất yếu. Do đó nguồn thời gian của mạng là thực sự không được an toàn
4.5.1.2.Đĩa lỗi
Các phần hỏng hóc về phần cứng phổ biến nhất thường liên quan tới bộ phận làm làm lạnh và các lỗi đĩa. Bạn nên dự phòng tất cả các dữ liệu quan trong, đặc biệt là các chứng chỉ đã được cấp phát ALL. Không bao giờ được đánh mất chứng chỉ hoặc là bạn phải thu hồi CA hoàn toàn. .
4.5.1.3.Theo dõi phần cứng
Thông thường bạn có thể quan sát trực quan nếu laptop của bạn bị ngưng hoạt động. Một máy tính offline bị ngưng hoạt động cũng có thể được phát hiện bằng sự quan sát trực quan như vậy. Tuy nhiên, thành phần online của PKI bị ngưng hoạt động thì lại là một vấn để bởi vì các thông tin quan trọng không sẵn sàng, như là các chứng chỉ được cấp phát mới và danh sách huỷ bỏ chứng chỉ. Những tình huống như vậy cũng có thể làm giảm các dịch vụ của bạn như SCEP. Nếu giao diện công khai của cơ sở hạ tầng an toàn bị suy giảm, thì vấn đề tin cậy của bạn sẽ bị giảm đối với người dùng của bạn trong tương lai.
4.5.2.An toàn vật lý
Nếu CA offline của bạn bao gồm một máy tính xác tay và bạn muốn đảm bảo sự kiểm soát kép và không có một điểm lỗi nào thì bạn cần phải tuân theo phương pháp sau : Sử dụng một “két “ module IT và hai két dữ liệu. Một két module IT có một UPC mà có cùng mức bảo vệ vật lý như một két sắt (ngăn ) Két này được sử dụng để cho phép máy tính xác tay đó không ngừng hoạt động, do đó giảm được thời gian và vấn đề về tính sẵn sàng. Tất cả ba két đó sẽ có hai khoá . Điều này đảm bảo rằng kiểm soát truy cập kép bằng chia sẻ khoá. Việc cài đặt cũng sẽ thực sự đơn giản và hiệu quả
Tổ chức của các két là thực sự dễ dàng. Ta có thể phân tách passphrase CA thành hai phần là trước và sau. Tổ chức của dữ liệu và máy tính có thể như sau
Két module IT bao gồm máy tính xách tay (với khoá riêng của CA) và phần trước của passphrase (cụm mật khẩu)
Két dữ liệu đầu tiên bao gồm các phần dự phòng (bao gồm các phần dự phòng khoá riêng) và phần sau của cụm mật khẩu
Ngăn dữ liệu thứ hai bao gồm cả phần trước và phần sau của cụm mật khẩu
Sự tổ chức này đảm bẳo rằng nếu một ngăn dữ liệu bị phá thì cũng sẽ không làm hư hại tới cơ sở hạ tầng. Sự phân cấp như vậy cũng đảm bảo rằng nếu mất một ngăn dữ liệu thì cũng sẽ không làm ngừng hoạt động của bạn. Chúng ta cần hai ngăn tồn tại và mất một ngăn thì cũng có thể chấp nhận được ít nhất trong một thời gian ngắn
Cần lưu lý rằng đây là ý tưởng cơ bản đối với những CA có mức rủi ro trung bình. Những CA có mức rủi ro cao nên sử dụng những lược đồ phức tạp hơn để có thể chấp nhận được nhiều hơn một ngăn bị phá hỏng.
4.5.3.Các vấn đề về mạng
Một PKI mang đầy đủ chức năng nếu như tất cả các dịch vụ mà nó cung cấp đều hoàn toàn hoạt động. Nghĩa là không chỉ những thứ như OCSP và SCEP mà cả các gateway công cộng cũng như vậy. Rất nhiều người nghĩ rằng sẽ đủ nếu như OCSP và một CDP duy trì hoạt động nhưng thực ra đó là không đủ. Lý do đầu tiên là hầu hết các ứng dụng không hiểu OCSP. Vấn đề thứ hai là CDP đang hoạt động chỉ hỗ trợ LDAP, bất luận trên thực tế có rất nhiều ứng dụng chỉ hỗ trợ HTTP. PKI sẽ không hoạt động đầy đủ nếu chỉ có CDP đang hoạt động. Không ai có thể tải chứng chỉ mới hoặc chứng chỉ của người dùng đang tồn tại trong trạng thái như vậy. PKI sẽ chỉ được an toàn, nhưng nó không hoạt động đầy đủ
4.5.4.Vấn đề về chứng chỉ
Phần này bao gồm hai nhóm vấn đề lớn là CDP và các vấn đề cụ thể về ứng dụng. Tuy nhiên thì các vấn đề cụ thể về ứng dụng sẽ được thảo luận trong phần khác trong hướng dẫn về CA
4.5.5.CDPs (Các điểm phân phối danh sách huỷ bỏ chứng chỉ (CDP))
Một vài PKI trước đây không có CDP hoặc chỉ có một CDP. Các ứng dụng an toàn phải xác minh trạng thái chứng chỉ được sử dụng. Những ứng
dụng như thế sẽ kiểm tra trường CDP trong phần mở rộng của chứng chỉ để tìm ra nguồn xác minh có thể dùng được. Ngày nay, điểm phân phối danh sách huỷ bỏ chứng chỉ không được coi là một nguồn cho CRL. Nó có thể được xem là một responder OCSP (bên hồi đáp OCSP). CDP hiện nay là nhiều điểm trạng thái chứng chỉ
Câu hỏi đầu tiên là các giao thức nào cần được hỗ trợ. Giao thức phổ biến nhất là LDAP và HTTP phải luôn được hỗ trợ. HTTP được hỗ trợ bởi gần như tất cả các thiết bị, nhưng một vài thiết bị chỉ hỗ trợ LDAP thay vì HPPT, đặc biệt trong một vài giải pháp mạng. Thêm vào đó còn có OCSP và HTTPS. OCSP là giao thức để xác minh trạng thái của một chứng chỉ . Giao thức này có hiệu suất tốt hơn rất nhiều so với các kết nối mạng chậm nếu bạn có một lượng lớn các cài đặt với nhiều chứng chỉ ( bị huỷ bỏ ). HTTPS chỉ đôi khi hỗ trợ bạn với một nguồn tin cậy
Câu hỏi thứ hai là cần bao nhiêu CDP vật lý mà bạn cần. Nếu bạn thiết kế một hạ tầng khả chuyển thì phải có khả năng chấp nhận sẽ ngắt một vài dịch vụ của các thành phần như cable, router, switch, và server. Cách tốt nhất là nên có CDP cục bộ nếu chỉ có một bộ kểt nối tới mạng trung tâm. Tuy nhiên, không phải mọi chi nhánh đều cần CDP riêng, vì nếu các máy tính của họ (hệ thống mail, hệ thống file) là Offline không cần thiết phải có CDP online.
4.5.6.Các vấn đề cụ thể về ứng dụng
4.5.6.1.Mail Server
Nếu bắt đầu nghĩ đến bảo mật Mail thì điểm bắt đầu là S/MIME hoặc PGP. Đầu tiên những nhà quản trị chỉ sử dụng IMAPS và POPS. Sau đó họ nghĩ về các máy chủ được bảo mật và cố gắng triển khai SMTP thông qua TLS. Các chứng chỉ được cấp bởi OpenCA có thể được sử dụng cho SMTP qua TLS bởi vì các chứng chỉ có thể đóng vai trò như chứng chỉ Client và chứng chỉ Server. Một SMTP Server có thể dùng 2 giao thức cho SMTP qua TLS. Nó có thể sử dụng một chứng chỉ đơn chứa phần mở rộng cho các Client và Server TLS, hoặc cũng có thể dùng 2 chứng chỉ: một cho Client, một cho Server.