Quantum Cyber Defense
Döküman2026-01-1020 dk

Kurumsal PKI Altyapısı Tasarım ve Güvenlik Kılavuzu

Offline Root CA, Online Sub-CA, OCSP Responder ve CRL altyapısı tasarımı. Kurumsal ölçekte PKI kurulumu için en iyi uygulamalar ve güvenlik gereksinimleri.

PKIX.509CAOCSPKriptografiWhitepaper
Cyber Quanta PKI Ekibi
2026-01-10
Paylaş:XLinkedInWhatsApp

Tam Dökümanı İndir

PDF formatında · 52 sayfa · 5.6 MB

PDF İndir

PKI Mimarisinin Temel Bileşenleri

Kurumsal PKI altyapısı, güvenilirlik ve ölçeklenebilirlik gereksinimleri gözetilerek tasarlanmalıdır.

Kök CA (Root Certificate Authority)

Kök CA, tüm PKI güven hiyerarşisinin temel taşıdır.

Kritik Güvenlik Gereksinimleri:

  • Offline Storage: Kök CA özel anahtarı hiçbir zaman ağa bağlı sistemde tutulmamalıdır
  • HSM Zorunluluğu: Özel anahtar FIPS 140-2 Level 3+ HSM'de saklanmalı
  • Tören Prosedürü (Key Ceremony): Kök CA oluşturma ve imzalama işlemleri noterce kayıt altına alınmalı
  • Güçlü Kriptografi: RSA-4096 veya ECDSA P-384 minimum; PQC geçişi planlanmalı

İşletimsel Süreç

  • Yıllık sertifika politikası (CP) ve sertifika uygulama ifadesi (CPS) güncellemesi
  • Sertifika yaşam döngüsü yönetimi otomasyonu (ACME/EST protokolleri)
  • Düzenli denetim ve penetrasyon testi

OCSP ve CRL Altyapısı

OCSP Responder Boyutlandırma

  • Yüksek erişilebilirlik için minimum 2 OCSP responder (aktif-aktif)
  • CDN veya load balancer arkasında OCSP stapling için optimize edilmiş yanıt süresi <100ms
  • 24 saatlik önbellek süresi (nextUpdate) ile yük dengeleme

CRL Yönetimi

  • 24 saatlik tam CRL (Base CRL) yayını
  • 4 saatlik delta CRL yayını (performans için)
  • CRL dağıtım noktaları (CDP) coğrafi olarak dağıtılmalı