Inrichting van een public key infrastructure (PKI)

Voor als je kennis en ervaring zoekt om jouw public key infrastructure in te richten

Wat is een Public Key Infrastructuur?

Om vertrouwensdienstverlener te zijn en digitale trust services te verlenen, zal je de beschikking moeten hebben over een Public Key Infrastructuur. Een PKI is een systeem dat wordt gebruikt om digitale certificaten te beheren en te verspreiden. Het maakt gebruik van een openbare sleutel (public key) en een privésleutel (private key) om de authenticiteit van digitale documenten en communicatie te waarborgen door cryptografische technieken. Een PKI omvat de hardware, software, beleidsregels en procedures die nodig zijn om digitale certificaten te maken, te beheren, te distribueren, te gebruiken, op te slaan en in te trekken.

Stappenplan voor de inrichting van een PKI

Het inrichten van een Public Key Infrastructure (PKI) omvat verschillende belangrijke stappen die ervoor zorgen dat de infrastructuur veilig, betrouwbaar en efficiënt werkt. Hieronder vind je de stappen voor het opzetten van een PKI:

Behoeftebepaling en planning
- Analyseren van vereisten: Identificeer de beveiligingsbehoeften van de organisatie, zoals authenticatie, encryptie en digitale handtekeningen.
- Doelstellingen bepalen: Stel duidelijke doelstellingen en scope voor de PKI vast, inclusief de beoogde gebruikers en de digitale vertrouwensdiensten.
- Budgettering: Bereken de kosten voor hardware, software, implementatie en onderhoud.
Ontwerpen van de PKI-architectuur
- CA hierarchie: Bepaal de structuur van de Certificate Authority (CA), zoals root CA, subordinate CA's, en eventuele registration authorities (RA).
- Sleutelbeheer: Definieer processen voor het genereren, opslaan, en beheren van cryptografische sleutels, inclusief de gebruik van Hardware Security Modules (HSM's).
- Beleidsregels: Ontwikkel Certificate Policies (CP) en Certificate Practice Statements (CPS) die de procedures en regels beschrijven voor het uitgeven en beheren van certificaten.
Selecteren van PKI software en hardware
- Software: Kies geschikte PKI-software die voldoet aan de beveiligings- en functionele eisen.
- Hardware: Selecteer betrouwbare hardware, zoals HSM's voor sleutelbeheer en beveiligde servers voor CA's.
- Contractering: Maak goede afspraken met je leveranciers en houdt hierbij rekening met vereisten en standaarden benodigd voor certificering.
Installatie en configuratie
- CA en RA configuratie: Installeer en configureer de root CA en eventuele subordinate CA's en RA's volgens de ontworpen architectuur.
- HSM configuratie: Configureer HSM's voor veilige opslag en gebruik van privé sleutels.
- Netwerk en beveiliging: Zorg voor een veilige netwerkomgeving met firewalls, intrusion detection systems en andere beveiligingsmaatregelen.
Genereren van sleutels
- Sleutelceremonie: Volg voor het genereren van sleutels altijd een strikte sleutelceremonie met externe getuigen en niet-muteerbare vastlegging.
- Root CA certificaat: Genereer en installeer het root CA-certificaat.
- Subordinate CA certificaten: Genereer en installeer certificaten voor subordinate CA's.
- RA certificaten: Genereer certificaten voor registration authorities indien van toepassing.
Ontwikkelen van beleidsregels en procedures
- Sleutelbeheer: Stel procedures op voor sleutelgeneratie, back-up, rotatie, en vernietiging.
- Certificaat uitgifte: Definieer procedures voor het aanvragen, verifiëren, en uitgeven van certificaten.
- Certificaat intrekking: Ontwikkel procedures voor het intrekken van certificaten en het bijhouden van Certificate Revocation Lists (CRL) en Online Certificate Status Protocol (OCSP).
- Certificaat beheer: Stel procedures op voor certificaat generatie, back-up, rotatie, en vernietiging.
Testen en validatie
- Functionele tests: Voer uitgebreide tests uit om ervoor te zorgen dat alle PKI-componenten correct werken.
- Beveiligingstests: Test de beveiliging van de PKI, inclusief penetratietests en beveiligingsaudits.
- Compliance tests: Controleer of de PKI voldoet aan relevante normen en regelgeving, zoals eIDAS voor QTSP's.
Implementatie en uitrol
- Uitrollen naar gebruikers: Begin met het uitrollen van certificaten naar eindgebruikers en applicaties.
- Training: Bied training aan voor IT-personeel en eindgebruikers over het gebruik en beheer van de PKI.
- Documentatie: Zorg voor gedetailleerde documentatie van alle PKI-processen en procedures.
Onderhoud en beheer
- Monitoring: Houd de PKI continu in de gaten voor prestaties en beveiligingsincidenten.
- Regelmatige audits: Voer periodieke audits uit om de naleving van beleidsregels en procedures te garanderen.
- Bijwerken en verbeteren: Werk de PKI bij met nieuwe beveiligingspatches, software-updates, en verbeteringen gebaseerd op auditresultaten en veranderende behoeften.
Incidentrespons en herstel
- Incident management: Ontwikkel en implementeer procedures voor het reageren op beveiligingsincidenten.
- Herstel plannen: Zorg voor plannen voor het herstellen van de PKI bij rampen of storingen, inclusief back-up en disaster recovery procedures.

Door deze stappen zorgvuldig te volgen, kan jouw organisatie een robuuste en betrouwbare PKI inrichten die voldoet aan de beveiligings- en nalevingseisen die gelden voor eIDAS elektronische vertrouwensdiensten.

Ondersteuning nodig bij de inrichting van jouw public key infrastructuur?

Kortom, je moet je goed voorbereiden om een PKI in te richten en op een juiste manier te beheren. Onze mensen hebben de ervaring en kennis om je hierbij te helpen. Neem daarom gerust contact op om te kijken hoe wij jouw organisatie hierin verder kunnen helpen.

Aniek Hannink

"Beheersing van de techniek is nog maar de helft van de factoren die nodig zijn om een betrouwbare PKI in te richten en draaien. De andere helft zijn de organisatie van mensen, leveranciers, procedures, processen en beheersmaatregelen daaromheen."

De afgelopen 30 jaar heb ik vele architectuur- en IT-projecten succesvol uitgevoerd binnen de domeinen Public Key Infrastructure en Identiteitsmanagement. De eerste jaren onder de vlag van IBM en al snel daarna als zelfstandig ondernemer en IT-architect. Naast mijn dagelijkse werkzaamheden, geef ik les aan de Hogeschool Utrecht over het vakgebied ICT. Het lesgeven biedt mij de mogelijkheid om mijn kennis en ervaring door te geven aan de volgende generatie IT-professionals. Eén van mijn speerpunten in het onderwijs is PKI, waarbij ik studenten leer hoe veilige en betrouwbare systemen werken.

Samen met het House of Trust team help ik (Q)TSPs de beste PKI in te richten en te beheren. Ons team bestaat uit experts op het gebied van cybersecurity en digitale vertrouwensdiensten. We werken nauw samen met onze klanten om oplossingen te creëren die niet alleen veilig en betrouwbaar zijn, maar ook schaalbaar en toekomstbestendig. Onze aanpak is klantgericht en we streven er altijd naar om de hoogste standaarden te behalen in alles wat we doen.

Stuur Aniek een bericht

Wij helpen je graag met onderstaande vraagstukken

Selectie PKI systemen

Voor elke vertrouwensdienst en unieke trust service organisatie gelden andere eisen. Vanzelfsprekend hoort daar een specifieke Public Key Infrastructuur bij. Welke HSMs ga je aanschaffen? En hoe ziet de rest van je infrastructuur eruit? Wij kennen de markt en de oplossingen en helpen je een juiste selectie te maken.

Ontwerp en architectuur

Voordat je begint met het inrichten en bouwen van je infrastructuur, zal je een goed ontwerp van de architectuur met systeem- en netwerkcomponenten moeten hebben. Ook de inrichting van je netwerk met een scheiding tussen de 'high secure zone' en 'secure zone' is een belangrijk onderdeel. Onze architecten helpen je graag verder.

Contractering

Goede afspraken met leveranciers van PKI systemen zijn essentieel om de kwaliteit te bewaken en kosten te beheersen. Onze vendor managers helpen je graag om een goede contractering te waarborgen met leveranciers van PKI infrastructuur componenten en services.

Bouw & configuratie

Op basis van het gekozen ontwerp en de onderliggende architectuur zal gestart worden met de bouw en configuratie van de PKI infrastructuur. Hiervoor heb je verschillende specialisten nodig om zeker te zijn dat jouw PKI infrastructuur perfect wordt opgebouwd en voldoet aan de meest strenge security eisen. Wij kennen deze markt van specialisten en kunnen een team voor je organiseren. Overigens bouwen wij dit het liefst samen op met de toekomstige beheerders van de PKI infrastructuur zodat de kennis is geborgd.

Sleutelceremonie

Een belangrijk onderdeel van jouw PKI is de opzet en beheer van publieke- en private sleutels. Iedere Certificate Authority (CA) zal tenminste één root key en één intermediate key sleutelpaar willen hebben. Om deze te genereren zal een zogenaamde sleutelceremonie gehouden moeten worden. Wij hebben de ervaring, protocollen en kennis om je hierbij te ondersteunen.

Testing

Net zo belangrijk als het ontwerp en de inrichting van de PKI infrastructuur is het testen hiervan. Er zijn verschillende testen die je wilt doorlopen alvorens de oplossing in productie kan worden genomen. Zo wil je niet alleen functioneel testen dat de vertrouwensdienst werkt conform design, maar ook dat aan de ETSI-eisen voor back-up, security, logging en continuiteit wordt voldaan. Afhankelijk van de PKI infrastructuur en vertrouwensdienst die je hebt gekozen, kunnen wij je precies vertellen waar je qua testing aan moet denken.

Beheer van documentatie

Bijgewerkte documentatie is noodzakelijk om aantoonbaarheid te waarborgen en daarmee te voldoen aan de ETSI-standaarden en andere vereisten. Uit ervaring weten we ook dat onder druk van tijd of beperkte affectie van technici met het schrijven van documentatie dit snel een ondergeschoven kindje kan worden. Met simpele technieken en goede voorbeelden, kunnen wij je helpen om de documentatie direct op een juist kwaliteitsniveau te krijgen en daarna ook te behouden in de beheersituatie.