PKI Mimarisinin Temel Bileşenleri
Kurumsal PKI altyapısı, güvenilirlik ve ölçeklenebilirlik gereksinimleri gözetilerek tasarlanmalıdır.
Kök CA (Root Certificate Authority)
Kök CA, tüm PKI güven hiyerarşisinin temel taşıdır.
Kritik Güvenlik Gereksinimleri:
- •Offline Storage: Kök CA özel anahtarı hiçbir zaman ağa bağlı sistemde tutulmamalıdır
- •HSM Zorunluluğu: Özel anahtar FIPS 140-2 Level 3+ HSM'de saklanmalı
- •Tören Prosedürü (Key Ceremony): Kök CA oluşturma ve imzalama işlemleri noterce kayıt altına alınmalı
- •Güçlü Kriptografi: RSA-4096 veya ECDSA P-384 minimum; PQC geçişi planlanmalı
İşletimsel Süreç
- •Yıllık sertifika politikası (CP) ve sertifika uygulama ifadesi (CPS) güncellemesi
- •Sertifika yaşam döngüsü yönetimi otomasyonu (ACME/EST protokolleri)
- •Düzenli denetim ve penetrasyon testi
OCSP ve CRL Altyapısı
OCSP Responder Boyutlandırma
- •Yüksek erişilebilirlik için minimum 2 OCSP responder (aktif-aktif)
- •CDN veya load balancer arkasında OCSP stapling için optimize edilmiş yanıt süresi <100ms
- •24 saatlik önbellek süresi (nextUpdate) ile yük dengeleme
CRL Yönetimi
- •24 saatlik tam CRL (Base CRL) yayını
- •4 saatlik delta CRL yayını (performans için)
- •CRL dağıtım noktaları (CDP) coğrafi olarak dağıtılmalı