Niemiecki koncern chemiczny, jedno z największych przedsiębiorstw w swojej branży, zdecydował się na wdrożenie usługi PKI Nexus SmartID w celu zwiększenia efektywności i elastyczności swojej infrastruktury PKI. Dotychczasowa infrastruktura oparta była na rozwiązaniu Microsoft CA, które okazało się uciążliwe w zarządzaniu i utrzymaniu. Firma ESYSCO, ekspert w dziedzinie kryptografii, została wybrana jako główny wykonawca tego projektu, mającego na celu kompleksowy re-design i wdrożenie nowej infrastruktury PKI w skali światowej – zarówno w centrali w Niemczech, jak i w oddziałach koncernu na całym świecie.

Wyzwania klienta

Klient posiadał rozbudowaną infrastrukturę PKI, która była szeroko wykorzystywana w różnych procesach. Wykorzystywanie certyfikatów odbywało się w różnych formach, od tradycyjnych kart po karty wirtualne i certyfikaty w telefonach. Głównymi wyzwaniami były rosnąca liczba use casów oraz złożona struktura Certificate Authority (CA) dostosowana do różnych zastosowań. Klient szukał bardziej elastycznego rozwiązania, które nie tylko spełniłoby ich bieżące potrzeby, ale także umożliwiło budowę i wykorzystywanie jej w przyszłych use casach bez konieczności rozbudowy infrastruktury fizycznej PKI.

Wybór PKI Nexus SmartID

Po przeprowadzeniu analizy rynku, klient zdecydował się na usługę PKI Nexus SmartID. Rozwiązanie to oferuje większą elastyczność i skalowalność niż Microsoft CA, co było kluczowym czynnikiem wyboru klienta. Nexus SmartID pozwala na dodawanie nowych use casów bez konieczności rozbudowy infrastruktury fizycznej PKI, co przekłada się na oszczędności kosztów, czasu i zasobów.

Zakres projektu i rola ESYSCO

ESYSCO było odpowiedzialne za wdrożenie i re-design infrastruktury PKI. W ramach projektu zespół ESYSCO przeprowadził analizę wymagań i obecnej infrastruktury PKI klienta, przygotował architekturę rozwiązania i szczegółowy projekt wdrożenia, a także zrealizował szereg integracji z różnymi systemami i narzędziami, takimi jak:

• Active Directory,
• Microsoft Intune,
• zewnętrzny system zarządzania kluczami kryptograficznymi – KMS (Key Management System)
• systemy SAP,
• urządzenia przemysłowe na liniach produkcyjnych,
• infrastruktura biurowa (Microsoft, Linux, Mac),
• urządzenia do zarządzania infrastrukturą mobilną – MD, Mobile Device Management.

Wykorzystano standardowe protokoły do automatycznego wydawania certyfikatów oraz procesy manualne.

Konkretne przykłady użycia PKI w projekcie

1. Wydawanie certyfikatów „w locie” dla urządzeń sieciowych i brzegowych, które realizują terminację sesji SSL. Dzięki temu możliwe było szybkie i automatyczne przydzielanie certyfikatów w trakcie działania systemu.
2. Wdrażanie certyfikatów do autoryzacji urządzeń zewnętrznych, takich jak serwery i komputery. Certyfikaty te służyły do uwierzytelniania i zapewnienia bezpiecznego dostępu do tych urządzeń.
3. Użytkowanie certyfikatów dla kont systemowych, działających jako serwisy bez integracji z użytkownikiem. Takie certyfikaty umożliwiały bezpieczną komunikację między różnymi systemami w infrastrukturze.
4. Wdrażanie certyfikatów dla użytkowników fizycznych, które służyły np. do podpisywania poczty elektronicznej, czy uwierzytelniania się w systemach. Zapewniało to bezpieczną identyfikację i autoryzację użytkowników.
5. Zastosowanie certyfikatów do podpisywania kodów aplikacyjnych, co gwarantowało integralność i autentyczność tych kodów. Umożliwiło to kontrolę nad kodem i zabezpieczenie przed potencjalnymi naruszeniami bezpieczeństwa.
6. Wykorzystanie certyfikatów do szyfrowania plików i poczty, których klucze były zarządzane i przechowywane w centralnym systemie KMS. Dzięki temu zapewniono bezpieczne przesyłanie i przechowywanie poufnych danych, oraz bezpieczne masowe odzyskiwanie i przekazywanie certyfikatów szyfrujących.

Wymienione przykłady obejmowały różne poziomy skomplikowania zastosowań certyfikatów w infrastrukturze PKI, a ich implementacja wymagała dedykowanych procesów i integracji z istniejącymi systemami.

Skala i etapy projektu

W ramach projektu zbudowano nową infrastrukturę PKI, która jestskalowalna i zdolna do obsługiwani rosnącej liczby use casów. Zaimplementowano także system zarządzania kluczami kryptograficznymi, który był zintegrowany z infrastrukturą PKI. Skala projektu obejmuje łącznie kilka milionów aktywnych certyfikatów w skali całego świata. Cały projekt trwał 2 lata. 

Etap 1: Analiza i projektowanie  

Zespół ESYSCO przeprowadził szczegółową analizę istniejącej infrastruktury PKI klienta, uwzględniając zastosowania certyfikatów i wymagania biznesowe oraz techniczne. Następnie opracowaliśmy high-level projekt, uwzględniający architekturę i funkcjonalności nowej infrastruktury.

Dalej, przystąpiliśmy do szczegółowego projektowania, uwzględniając wszystkie aspekty wdrożenia, takie jak integracje z systemami i narzędziami klienta oraz wymagania dotyczące bezpieczeństwa i zgodności. Zespół ESYSCO współpracował ściśle z klientem, zapewniając, że wszystkie ich wymagania są uwzględnione w projekcie.

Etap 2: Budowa nowej infrastruktury PKI

Po zatwierdzeniu projektu przystąpiono do budowy nowej infrastruktury PKI opartej na usłudze PKI Nexus SmartID. Zespół ESYSCO przeprowadził migrację istniejących certyfikatów i kluczy do nowego systemu, zapewniając, by proces przebiegał bez zakłóceń dla działalności klienta.

Infrastruktura PKI została skonfigurowana w sposób zapewniający skalowalność i elastyczność.

Etap 3: Integracje i testowanie

Po zbudowaniu infrastruktury PKI zespół ESYSCO przystąpił do integracji z różnymi systemami i narzędziami klienta. Zintegrowano PKI z Active Directory, Microsoft Intune, systemem zarządzania kluczami kryptograficznymi oraz innymi aplikacjami i platformami systemowymi.

Przeprowadzono również wnikliwe testy poprawności działania infrastruktury PKI i jej integracji z innymi systemami.

Pracownicy klienta byli zaangażowani na każdym etapie projektu, co umożliwiło rozwiązywanie problemów na środowisku testowym oraz przetestowanie rozwiązań na wczesnym etapie tworzenia procesów. Ponadto, pozwoliło to klientowi efektywnie przejąć wdrożony przez nas system, bez konieczności długiego uczenia się jego obsługi, a także umożliwić w przyszłości samodzielne modyfikacje, rozbudowę i wprowadzania zmian.

Etap 4: Wdrożenie i szkolenie

Po potwierdzeniu poprawności działania infrastruktury PKI przystąpiono do wdrożenia. Zespół ESYSCO współpracował ściśle z klientem, aby zapewnić płynne przejście do nowej infrastruktury i minimalizację zakłóceń w codziennej działalności. Przeprowadzono również szkolenia z obsługi nowej infrastruktury PKI dla administratorów i użytkowników końcowych.

Podsumowanie i korzyści z wdrożenia

Projekt migracji i wdrożenia nowej infrastruktury Nexus PKI był projektem kompleksowym i obejmował szeroki zakres zastosowań certyfikatów. Wdrażanie certyfikatów dla różnych rodzajów urządzeń i użytkowników wymagało dedykowanych procesów i integracji.

Cały projekt trwał 2 lata i zakończył się sukcesem. Nowa infrastruktura PKI oparta na usłudze Nexus SmartID jest w pełni funkcjonalna i zintegrowana z istniejącymi systemami klienta. Dzięki temu klient może efektywnie zarządzać swoimi kluczami kryptograficznymi i certyfikatami, zapewniając wysoki poziom bezpieczeństwa dla swojej infrastruktury IT, a także modyfikować i rozwijać ją swobodnie i samodzielnie, zasobami wewnętrznymi.