ZačínámePorozumění PKICertifikační autorityVydávání certifikátůŽivotní cyklus certifikátuOCSPProtokol ACMEPřístup k APIIntegrace MCPWorkspaces

Porozumění PKI

Infrastruktura veřejných klíčů (PKI) je rámec politik, hardware, software a procedur používaných k vytváření, správě, distribuci a odvolávání digitálních certifikátů. Umožňuje bezpečnou komunikaci přes nedůvěryhodné sítě jako je internet.

Veřejné a soukromé klíče

PKI je postavena na asymetrické kryptografii, která používá pár matematicky propojených klíčů:

  • Veřejný klíč — Sdílený otevřeně. Používá se k šifrování dat nebo ověřování podpisů.
  • Soukromý klíč — Vlastník ho udržuje v tajnosti. Používá se k dešifrování dat nebo vytváření podpisů.

Data zašifrovaná veřejným klíčem lze dešifrovat pouze odpovídajícím soukromým klíčem a naopak. Tato vlastnost umožňuje bezpečnou komunikaci bez předchozího sdílení tajemství.

Co je digitální certifikát?

Digitální certifikát (často nazývaný X.509 certifikát nebo TLS/SSL certifikát) je elektronický dokument, který váže veřejný klíč k identitě. Obsahuje:

  • Subjekt — Identita, kterou certifikát reprezentuje (např. doménové jméno nebo organizace)
  • Veřejný klíč — Veřejný klíč subjektu
  • Vydavatel — CA, která certifikát podepsala a vydala
  • Doba platnosti — Datum začátku a konce platnosti
  • Subject Alternative Names (SANs) — Další identity (domény, IP adresy), které certifikát pokrývá
  • Podpis — Digitální podpis CA prokazující autenticitu

Co je certifikační autorita?

Certifikační autorita (CA) je důvěryhodná entita, která vydává a podepisuje digitální certifikáty. CA ručí za identitu držitele certifikátu podepsáním certifikátu svým vlastním soukromým klíčem. Existují dva typy:

  • Veřejné CA — Důvěřované prohlížeči a operačními systémy globálně (např. Let's Encrypt, DigiCert). Používají se pro veřejně přístupné webové stránky.
  • Soukromé CA — Provozované organizacemi pro interní použití. Důvěřují jim pouze zařízení, která explicitně nainstalují kořenový certifikát CA. Toto je to, co vám Certman pomáhá vytvořit.

Řetězec důvěry

Důvěra v PKI proudí skrze hierarchii certifikátů:

  1. Kořenový CA certifikát — Samo-podepsaný, nainstalovaný v úložištích důvěry. Toto je kotva důvěry.
  2. Zprostředkující CA certifikát — Podepsaný kořenovou CA. Používá se k vydávání koncových certifikátů, zatímco kořenový klíč zůstává offline.
  3. Koncový certifikát — Podepsaný CA. Identifikuje server, zařízení nebo službu.

Když se klient připojí k serveru, ověří každý certifikát v řetězci zpět k důvěryhodné kořenové CA. Pokud je řetězec platný, spojení je důvěryhodné.

Odvolání certifikátu

Pokud je soukromý klíč certifikátu kompromitován nebo certifikát již není potřeba, může být odvolán. Odvolání je komunikováno prostřednictvím:

  • CRL (Seznam odvolaných certifikátů) — Podepsaný seznam sériových čísel odvolaných certifikátů publikovaný CA
  • OCSP — Online protokol pro kontrolu odvolání v reálném čase

Certman podporuje oba mechanismy — každá CA publikuje CRL a poskytuje OCSP respondér pro kontroly stavu v reálném čase. Viz sekce OCSP pro podrobnosti.

Běžné případy použití pro soukromou PKI

  • Zabezpečení interních služeb (NAS, routery, domácí automatizace, vývojové servery)
  • Mutual TLS (mTLS) autentizace mezi službami
  • Šifrování provozu v privátních sítích a VPN
  • Podepisování kódu a dokumentů v rámci organizace
  • Autentizace IoT zařízení