Читаем Инфраструктуры открытых ключей полностью

Поскольку не существует универсального решения для любой ситуации, при развертывании PKI и выборе типа репозитория каждая организация должна ориентироваться на собственные потребности и возможности. Очевидно, что должно поддерживаться столько протоколов, сколько необходимо для обслуживания всех имеющихся клиентов и приложений, и использоваться столько репозиториев, сколько требуется для удовлетворения потребностей всех сообществ пользователей данного домена.

Пока наиболее практичным решением для организации репозитория PKI является каталог. Каталог X.500 с LDAP обеспечивает максимум масштабируемости и функциональной совместимости. Прозрачность местонахождения упрощает работу клиентов. В случае усложнения PKI и появления необходимости обмениваться кросс-сертификатами с другими PKI, которые поддерживают стандарт X.500, клиенты непрерывно будут иметь доступ ко всем необходимым сертификатам. Каталог X.500 поддерживает аутентифицируемый доступ, обеспечивая бизнес-модель возмещения затрат при обслуживании запросов доверяющих сторон к репозиторию. Но следует учитывать, что процесс аутентификации доступа к общедоступным данным снижает производительность системы. Небольшие изолированные PKI могут применять каталог LDAP v2. В настоящее время используются каталоги LDAP v3, предоставляющие более гибкие возможности для крупномасштабных PKI.

Если организация развертывает частную PKI, разумным решением может быть использование отдельно HTTP- или FTP- репозитория. Но пока большинство программных продуктов PKI не поддерживают доступ к корпоративным репозитория м по протоколам HTTP или FTP, функциональная совместимость с внешними пользователями будет ограничена. Эта проблема может быть решена путем организации пограничного каталога. Лучшая стратегия заключается в реализации частного каталога как начального шага в двухшаговом процессе публикации. Этот каталог может использоваться и как пограничный каталог для достижения функциональной совместимости с внешними PKI. Пограничный каталог - это наиболее простой механизм разделения корпоративной информации с внешним миром при защите необходимых ресурсов.

Наконец, можно дать две самых общих рекомендации относительно репозитория вне зависимости от поддерживаемых протоколов доступа к нему. Во-первых, организации не следует создавать отдельный репозиторий для поддержки PKI помимо уже имеющегося корпоративного репозитория, а во-вторых, не следует использовать мощные средства защиты репозитория, если в этом нет реальной необходимости, поскольку поддержка функционирования защищенной системы всегда более сложна.

Итак, мы проанализировали различные методы распространения сертификатов и информации об аннулированных сертификатах и варианты использования репозитория, обсудили ряд альтернатив развертывания, когда PKI-информация разделяется между двумя или более взаимодействующими доменами PKI. В связи с быстрым ростом количества пользователей PKI до десятков тысяч, сотен тысяч и даже миллионов существенно возрастает важность своевременного и надежного распространения PKI-информации. Это одно из наиболее фундаментальных требований успешного развертывания любой крупномасштабной PKI.