Bosh sahifa Wiki PKI

PKI

PKI — Public Key Infrastructure nomli, public keylarni identity bilan bog‘lash, sertifikat chiqarish, tekshirish, yangilash va bekor qilish uchun tashkil etilgan texnik hamda ma’muriy tizim. PKI faqat Certificate Authority serveridan iborat emas; root trust, registration, certificate policy, repository, revocation, audit va private key boshqaruvini ham qamrab oladi. HTTPSdagi server sertifikatlari uning eng tanish qo‘llanishidir.

Asosiy komponentlar

Certificate Authority sertifikat imzolaydi. Registration Authority ariza beruvchining identity yoki domen nazoratini tekshirishi va tasdiqlangan so‘rovni CAga yuborishi mumkin. Repository sertifikat, intermediate chain, CRL va policy hujjatlarini tarqatadi. Relying party, masalan brauzer, sertifikat zanjiri va ulanish nomini tekshiradi.

Root CA self-signed certificate bilan trust anchor bo‘ladi. Root private key juda yuqori qiymatli bo‘lgani sababli ko‘pincha offline HSMda saqlanadi. Kundalik sertifikatlarni root emas, bir yoki bir nechta intermediate CA imzolaydi. Intermediate compromise bo‘lsa, root tegishli sertifikatni bekor qilib, hierarchy’ning qolgan qismini saqlashi mumkin.

Sertifikat zanjiri

End-entity sertifikati subject public key, issuer, serial number, amal muddati, signature va extensionlarni o‘z ichiga oladi. Server o‘z sertifikati bilan kerakli intermediate’larni yuboradi, odatda rootni yuborish shart emas. Client issuer–subject bog‘lanishi va har signature’ni tekshirib, lokal trust store’dagi rootga yo‘l topadi.

Path validation faqat signature tekshiruvi emas. Basic Constraints intermediate’ning CA ekanini, Key Usage va Extended Key Usage maqsadni, Name Constraints ruxsat etilgan nomlarni cheklaydi. HTTPS client Subject Alternative Name ichida so‘ralgan hostname borligini tekshiradi. Expired yoki not-yet-valid certificate rad etiladi.

Sertifikat berish

Ariza beruvchi key pairni o‘zi yaratib, Certificate Signing Request ichida public key va nomlarni beradi. CSR private keyga ega ekanini signature bilan ko‘rsatadi, ammo undagi identity claimlarini avtomatik isbotlamaydi. CA domen nazorati yoki tashkilot tekshiruvini policy bo‘yicha bajaradi va faqat tasdiqlangan extensionlarni sertifikatga qo‘shadi.

ACME protokoli domen sertifikatlarini avtomatik olish va yangilashga imkon beradi. HTTP-01, DNS-01 yoki TLS-ALPN-01 challenge domen ustidan nazoratni tekshiradi. DNS-01 wildcard sertifikat bera oladi, ammo DNS API credentiali yuqori vakolatli secretga aylanadi.

Revocation

Private key compromise, noto‘g‘ri chiqarish yoki xizmat tugashi sertifikatni muddatidan oldin bekor qilishni talab qiladi. Certificate Revocation List bekor qilingan seriallar ro‘yxatini davriy e’lon qiladi. OCSP clientga bitta sertifikat holatini so‘rash imkonini beradi. Tarmoq xatosida soft-fail qilish mavjudlikni, hard-fail esa xavfsizlikni ustun qo‘yadi.

OCSP stapling serverga CA javobini oldindan olib, TLS handshake’da clientga berish imkonini beradi. Qisqa muddatli sertifikatlar revocation oynasini kamaytiradi, ammo avtomatik renewalning ishonchliligini talab qiladi. Revocation barcha clientga darhol yetib boradigan mukammal mexanizm emas.

Ichki PKI

Tashkilot ichki xizmatlar, mTLS, VPN, Wi-Fi va device identity uchun private PKI yaratishi mumkin. Private root faqat boshqariladigan qurilmalarning trust store’iga tarqatiladi. Rootni barcha qurilmaga o‘rnatish unga har qanday domen uchun sertifikat chiqarish kuchini beradi, shu sababli policy va HSM himoyasi qat’iy bo‘ladi.

Certificate lifecycle inventar, expiry monitoring, avtomatik renewal va key rotationni qamrab oladi. Sertifikat yangilangan bo‘lsa ham server eski faylni reload qilmagan bo‘lishi mumkin; monitoring real endpointdagi chain va expiry’ni tekshiradi. Audit kim qaysi nom uchun sertifikat so‘raganini va qaysi policy asosida berilganini saqlaydi.

Bog‘liq tushunchalar

Certificate Authority, Root certificate, X.509, Certificate chain, OCSP, CRL, Trust store