PKI сервері: қолтаңбаны бағалау, резервтеу және HSM‑ды бастапқыда енгізу
PKI серверін қалай таңдау: қол қою операцияларының жүктемесін бағалау, шыңдарды есептеу, HSM‑тың рөлі, резервтеу нұсқалары және іске дайындығын тексеру.

PKI серверін таңдауды неден бастау керек
PKI серверін қызметкерлер санына емес, жүйенің ең қатаң сағаттарда қандай операцияларды көтеруі керек екеніне қарай таңдайды. Жаппай сертификат шығару кезінде PKI сұрауларды қабылдап, тексереді, сертификаттар жасайды, қол қояды, деректерді жариялайды және журнал жүргізеді. Көп жағдайда тар орын — қол қою және оған қатысты тексерістер болады.
Бастапқыда жиі болатын қате — тек орташа өтімділікке қарау. PKI үшін анағұрлым маңыздысы — шыңдар: таңғы кіру, токендерді жаппай ауыстыру, мерзімнің аяқталуына дейін қайта шығару, жаңа алгоритмге көшу, филиалдың іске қосылуы. Мұндай терезелерде 30–60 секундтық кідіріс тез арада сағаттардағы кезекке айналады.
Ең ауыр апаттар жиі «сервер құлап қалды» туралы емес, салдарлар тізбегі туралы болады: сертификат шығару немесе тексеру мүмкін болмағандықтан сервистер тоқтауы, шығару уақыттарының өсуі (пайдаланушылар мен қызметтер сұрауды қайталап жүйені одан сайын жүктейді), компоненттер арасында сәйкессіздік (сертификат шығарылған, бірақ уақытында жарияланбаған; CRL/OCSP кешігумен жаңарған).
Темірді және әсіресе HSM‑ды сатып алардан бұрын бірнеше шешімді жазбаша бекіту керек. Қандай жаппай операциялар мүмкін (алғашқы шығару, жоспарлы қайта шығару, қайтару, қызметтерге сертификаттар). Қанша секундқа дейін сертификат шығаруға рұқсат етіледі пикада. Бір немесе бірнеше сертификаттау орталығы болады ма (сертификат түрлері мен сенім аймақтары бойынша бөлу). Қалпына келтіру қалай өтуі керек (ыстық резерв, суық резерв немесе жоспарлы тоқтату қабылданады). HSM бастапқыда қажет пе және сіз үшін не маңыздырақ: максималды қауіпсіздік, максималды қол қою жылдамдығы немесе тепе‑теңдік.
Жай бағыт: егер квартал сайын 30 000 сертификатты 2 жұмыс күні ішінде қайта шығарсаңыз, сервер ай бойы «тыныш» болуы мүмкін, бірақ осы 2 күн критикалық болады. Осыдан бастап қуат есептеледі және архитектура таңдалады.
PKI компоненттері және қай жерде жүктеме пайда болады
PKI бір серверге сирек сыяды. Тіпті бастапқыда бәрін бір түйінге қойсаңыз да, ішкі ролдер әртүрлі және олардың жүктемесі әртүрлі: кей жерде криптографияға, кейде дерекқорға, тағы бір жерде желіге және дискілерге тіреледі.
Әдетте схемада бар: сертификаттау орталығы (CA), өтініштерді тексеретін тіркеу орталығы (RA), статусын онлайн тексеретін OCSP, CRL жариялау, өтініш порталы немесе API, өтініштер мен күй үшін дерекқор, аудит журналдары.
Қай жерде жиі тар орындар пайда болады
Ең айқыны жүктеме әдетте үш жерде болады:
- CA‑дағы қол қою және оған қатысты операциялар (әсіресе жаппай шығару немесе қайта шығаруда);
- OCSP, көптеген клиенттер сертификат статусын тұрақты түрде тексергенде;
- дерекқор мен дискілер, егжей‑тегжейлі журналдар, өтініштер мен оқиғаларды сақтау және RA мен порталдан жиі жазбалар болғанда.
OCSP көбіне криптографиядан гөрі желі мен көптеген қысқа сұраныстарды өңдеуден жүктеледі. Егер тізім үлкен болса немесе жиі жаңарту қажет болса, CRL жариялау сәтінде диск пен CPU‑ға күтпеген салмақ түсуі мүмкін.
Не нәрсені біріктіруге және не нәрсені бөлуге болады
Кіші орнатуларда RA, портал және база жиі біріктіріледі: әкімшілендіру жеңіл және тиімді. Бірақ кей ролдерді ертерек бөлу пайдалы. Қол қоятын CA әдетте жеке әрі қауіпсіздей жасалады, кейде мүлде желіден оқшауланады. OCSP‑ты көп тұтынушылар болса бөлек түйінге шығару орынды.
Реттеу талаптары мен аудит архитектураға қатты әсер етеді: әкімшілер ролдерін бөлу, өзгермейтін журналдар, ұзақ оқиғаларды сақтау мерзімі, дәл уақыт синхрондауы, кілттерге қатал қолжетімдікті бақылау. Бұл сақтау, резервтеу және бақылау процестеріне қосымша жүктеме қосады, тіпті сертификат шығару күнделікті болмаса да.
Нақты жүктемені қалай сипаттауға: тек орташа емес
Орташа жүктеме көп жағдайда алдайды. PKI сағаттап тыныш тұрып, 10 минут ішінде сұраныстар толқынын алып қалуы мүмкін, сол кезде қол қою кезегі бірнеше есе өседі. Сондықтан жүктемені сценарийлер жиыны ретінде, шыңдар мен уақыт шектеулерімен сипаттау ыңғайлы.
Шын болатын жағдайларды сипаттаңыз: алғашқы шығару (қызметкерлерді қосу немесе құрылғыларды тіркеу), жоспарлы қайта шығару, криптосаясат өзгерісі бойынша жаппай ауыстыру, кері қайтару және инциденттен кейінгі шұғыл қайта шығару. Әр сценарийде «барлығы қанша» ғана емес, «қанша уақыт ішінде бұл орындалуы керек» дегенді де көрсетіңіз.
Қандай метрикалар жинау керек
«Көп өтініш» дегенді емес, 2–3 айқын санды алыңыз:
- негізгі сценарийлер бойынша сағатқа шаққандағы сертификаттар саны;
- шыңдағы қол қою операцияларының секундына саны (орташа емес);
- рұқсат етілген кезек ұзындығы (SLA бұзылмайтын өтініш саны).
Мысал: егер 2 000 қызметкер 9:30‑да келіп, жүйеге кіруі керек болса, маңыздысы күндік көлем емес, 9:00–10:00 аралығындағы «2000 1 сағатта» міндеті.
Шыңдар қай жерде туындайды
Шыңдар көбіне күнделікті рутинаны байланысты: таңғы кіру, ауысымның басталуы, жаппай жаңартулар, оқу семестрінің басталуы, есеп мерзімінің жабылуы. Одан бөлек кампанияларды бөліп көрсетіңіз: жыл сайынғы жоспарлы ауыстыру және «бүгін кешке дейін» деген төтенше қайта шығару.
Сроктер мен қайта шығару саясаты жұмыс көлемін тікелей анықтайды. Қысқа мерзімдер (мысалы, 3–6 ай) және қатаң ротация ережелері қол қою мен статус тексеруді жиілетеді. «Мерзімінен 30 күн бұрын» рұқсат етілсе, жүктеме созыла береді; «3 күнге қалғанда» десеңіз, шыңді өзіңіз жасайсыз.
Осы кезеңде HSM қолдану жоспарланатынын да белгілеп қойыңыз: ол қауіпсіздікті арттырады, бірақ өнімділікті өзгертеді және кезектерді жоспарлауды өзгертеді, әсіресе жаппай шығару кезінде.
Қол қою операцияларындағы жүктемені бағалау
PKI‑да жүктеме сирек «күндегі сертификаттар» сияқты біртекті болады. Әр операцияның өзінің құны бар, сондықтан сервер мен крипто бөлігінің талаптары әртүрлі болады.
Қол қоюды үш потокқа бөліңіз: сертификаттарды қол қою (шығару және қайта шығару), OCSP жауаптарын қол қою (реaltime статус тексеру) және CRL‑ды қол қою (қайтару тізімдерін жариялау). OCSP тұрақты «шағын» жүктеме бере алады, ал жаппай шығару шыңдарды жасайды.
Жылдамдыққа алгоритмдер мен кілт параметрлері қатты әсер етеді. RSA-2048 үйлесімді, бірақ кілт ұзарған сайын қол қою ауырлайды. ECDSA қысқа қолтаңба береді және жылдамырақ болуы мүмкін, бірақ клиенттер үйлесімділігі мен криптосаясатқа талаптар қатаң болуы мүмкін. Сондықтан бағалау абстрактты «операциялар/с» емес, таңдалған параметрлерге сүйеніп жасалсын.
Кейін параллельділікті анықтаңыз: бір уақытта қанша сұраныс келеді және қандай кешігуге төзуге болады. OCSP үшін көбіне тұрақты жауап уақыты маңыздырақ.
Ыңғайлы түрде бағалауды кестеге салып, бизнеспен келісіңіз:
| Операция | Частота (орташа/шық) | Мақсатты жауап уақыты | Сыншылдық |
|---|---|---|---|
| Сертификатқа қол қою | мысалы, жаппай қайта шығаруда сағатына 2 000 | 2–5 с дейін | кампания кезінде жоғары |
| OCSP жауаптарын қол қою | мысалы, жұмыс уақытында 50–200 сұрау/с | 200–500 мс дейін | тұрақты түрде маңызды |
| CRL қол қою | мысалы, 1 рет 1–6 сағатта | минуттар рұқсат етіледі | орташа |
Сандарды қатеден сақтану үшін төрт нәрсені тексеріңіз: OCSP‑ты шындап қанша қосымша мен қолданба тексереді; пакетпен операциялар болады ма (жаппай қайта шығару, алғашқы тіркеу); негізгі жүйелер үшін қатал SLA‑лар бар ма; саясаттарда қандай алгоритмдер мен кілт ұзындықтары бекітілген.
Егер ұйым бір уақытта 30 000 сертификат қайта шығарып жатқанда жұмыс станциялары мен серверлер үшін OCSP сұраулары белсендірек жалғасса, осы потоктарды бөлек есептеңіз. Әйтпесе OCSP‑қа тұрақсыз жауаптар аласыз немесе артық қуатқа шығындалыңыз.
HSM‑ды бастапқыда енгізу: жобалаудан бұрын не тексеру керек
HSM (аппараттық қауіпсіздік модулі) кілттерді "жасыру" үшін ғана емес. Ол жобаның бүкіл ойын ережесін анықтайды: CA кілттері қайда сақталады, қол қою криптооперациялары қалай өтеді және кейін кімнің не қол қойғанын қалай дәлелдейсіз (аудит және операция журналдары).
Жобалаудан бұрын қай операциялар HSM ішінде орындалатынын шешіңіз. Әдетте ең сезімтал кілттер (мысалы, шығару орталығының кілттері) HSM‑ға ауыстырылады, ал аз критикалық операциялар серверде қалады. Бұл қауіпсіздікке, шығынға және өнімділікке әсер етеді.
HSM‑тың қай параметрлері шыңда тар орынға айналады
Қағазда HSM «PKI‑ды қолдай алады», бірақ жаппай шығару кезінде нақты шектеулерге тап боласыз:
- қол қою өнімділігі (сайланған алгоритм мен кілт ұзындығы бойынша операциялар/сек);
- бір уақыттағы сеанстар саны және жаңа сеанстарды ашу жылдамдығы;
- жоғары қолжетімділік режимі (актив‑актив немесе актив‑пассив) және сәтсіздік жағдайындағы мінез‑құлқы;
- аудит: қорғалған журналдар қосылған ба, оларды қалай шығарып, қайда сақтау керек.
Мысал: пикада сағат ішінде 10 000 сертификат шығару керек болса, орташа жүктеме шынымен төзімді көрінуі мүмкін. Бірақ толқындар кезінде HSM CPU‑да емес, қол қою шектеулерінде немесе сеанстар санында тұрып қалуы ықтимал.
Жыл бойы шектеліп қалмау үшін
Өсуге алдын ала жоспар жасаңыз: жаңа бөлімдер, интеграциялар, автоматты ротация, көбірек қызметтік сертификаттар. HSM‑тың өнімділігі мен сеанстар саны бойынша запас қойыңыз және масштабталуын тексеріңіз: лицензияларды қосу, екінші HSM сатып алу, кластерге көшу.
Орналастыру варианттары: HSM сервер ішінде (ықшам, қарапайым, бірақ HA қиын), бөлек шкафтағы құрылғы (қызмет көрсету және HA ыңғайлы) немесе үлкен жүктемелер мен қатал қолжетімділік талаптары үшін HSM кластері.
Егер серверді HSM‑мен бірден жоспарлап отырсаңыз, резервтеуді ұмытпаңыз: HSM істен шықса, шығаруды және қайтаруды тоқтатып жібереді, тіпті басқа серверлер жұмыс істесе де.
PKI үшін сервер мен инфрақұрылымды таңдау
Сервер таңдағанда қай жерде тар орын болатынын қараңыз: қол қою, дерекқор, журнал сақтау, CRL жариялау және OCSP жауаптары. Жүйе айлар бойы тыныш тұрмай, жаппай шығару немесе қайта шығару кезінде ресурсқа тап болуы мүмкін.
CPU, жад, диск және желі: не шектеуші болады
CPU екі себептен маңызды. Такті жиілігі маңызды болғанда — қол қою мен кей криптооперациялар қатарсыз өтіп, бір сұранысқа минималды кешігу керек. Ядролар саны маңызды болса — шығару параллель жүретін кезде (бірнеше worker, сұраныс кезегі), және дерекқор мен жариялау сервистері бір уақытта жұмыс істейді. Егер қол қою HSM‑ға шықса, сервер CPU жүктемесі азаяды, бірақ сервер мен HSM арасындағы желінің тұрақтылығы мен кешігуі маңызды болады.
Жад көбіне дерекқор кеші, кезектер және қызмет процестеріне жұмсалады. Пикада RAM‑тың жетіспеушілігі дискпен үнемі алмасуға әкеліп, жақсы процессоры бар кезде де «баяу PKI» тудырады.
Диск жиі тосынсый болады. Журналдар, базалар, кезектер, аудит, резервтік көшірмелер және сақталу талаптары тек көлемді емес, тұрақты IOPS‑ты да талап етеді. Дерекқор мен журналдарға бөлек жылдам томдар көбіне жай ғана "көбірек SSD"‑дан тиімдірек. Бірден шешіңіз: журналдар локальді ме әлде орталықтандырылған ба, қанша ай сақтау және резервтен қалпына келтіру уақыты болуы керек.
Желіде кешігу мен болжамдылық маңызды. PKI‑ға уақыт синхрондауы (NTP) және клиенттер, каталогтар мен жариялау нүктелеріне қолжетімділік қажет. Сегментация тәуекелді төмендетеді, бірақ маршруттар мен қолжетім ережелеріне қосымша талап қояды.
Орталарды және контурларды бөлу
Шығару мен әкімшілендіруді сынақтар мен әкімшілік жұмыстар үшін тоқтатпау үшін, ең болмағанда логикалық түрде бөлінген орта жасаңыз: өнімді (шығару, CRL/OCSP, база), тест/песочница, шығарылым контуры (қол қою және кілттер), әкімшілік контуры (қатаң қолжетім және аудит).
Жылдам бастау қажет болса, типтік серверлік түйін алып, кейін масштабтау жиі таңдалады. Қазақстан жобалары үшін жергілікті өндірістегі стойкалық серверлер (мыс., GSE S200) қарастырылып, диск жүйесі мен желілік схема шыңдағы шығаруға сәйкес таңдалады.
Резервтеу стратегиясы: қолжетімділік неге байланысты
PKI қолжетімділігі көбіне қуаттың жетіспеушілігінен емес, күтулердің дұрыс болмауынан тұтылады. Бастапқыда: қанша уақыт тоқтап тұруды (RTO) және қанша деректі жоғалтуға болатындығын (RPO) анықтаңыз. Әр PKI бөлімі үшін бұл сандар жиі әртүрлі: шығару, OCSP және CRL әр түрлі ережелерге бағынады.
Мақсаттарды бөлек бекіту пайдалы: шығару мен қайта шығару үшін жұмыс күнінде қанша минут/сағат тоқтату рұқсат етілетінін; OCSP үшін бірнеше секундтық тоқтату қаншалықты қабылданатынын; CRL қаншалықты жиі жаңартылып, сәтсіз жағдайда қаншалықты тез қолжетімді болуы керек; әкімшілік пен аудит журналдарына қол жеткізудің қанша уақытта қалпына келтіруі қажет.
Резервтеу моделін осы сандардан таңдаңыз, «әдет бойынша» емес. Актив‑резерв қарапайым әрі болжамды және көбіне сертификаттау орталығы үшін қолайлы. Актив‑актив OCSP сияқты көп тексерулерде орын алса да, синхрондау мен өзгерістерді қатаң бақылауды талап етеді. Георезерв сайттың сәтсіздігі қатерлі болса мәнді, бірақ кешігулер, арналары және ауысу процедурасын ескеріңіз.
Міндетті резервтеу элементтері:
- HSM және оның кілттері (HSM кластері немесе қосымша модуль, сонымен қатар түсінікті қалпына келтіру процедурасы);
- дерекқор (репликация, резервтік көшірмелер және қалпына келтіру тексерістері);
- қызмет конфигурациялары, саясаттар, сертификат шаблондары;
- аудит журналдары мен қауіпсіздік оқиғалары (бөлек сақтау және өзгеріске қарсы қорғау);
- жарияланатын деректер (CRL, OCSP жауаптары) және олардың өзектілігін бақылау.
PKI айналасында біртекті ақау нүктелерін алып тастаңыз: екі тәуелсіз қуат, резерв желісі мен маршрутизация, сенімді уақыт көзі. Уақыт синхрондаудың қателері сертификат тексерісін дәл сервер құлауындай бұзуы мүмкін.
Қуатты таңдау және тексеру қадамдары
Жоспарды темірден бастап емес, сандар мен жұмыс ережелерінен бастаңыз. Сол кезде сервер PKI‑ға «көзіне қарай запас» емес, нақты қол қою мен шыңдарға сай болады.
Сатып алудан бұрынғы қадамдар
-
Сценарийлер мен сандарды жинаңыз: қолданушылар мен жүйелер саны, жыл сайынғы сертификаттар мөлшері, шыңдар (мыс., дүйсенбі таңғы шық, жаппай қайта шығару), қолжетімділік пен жауап уақыты (SLA).
-
Рольдер архитектурасын және сенім шекарасын сипаттаңыз: қайда түпкі УЦ, қайда шығару, қайда OCSP/CRL, кім және қалай әкімшілік етеді. Бұл қай бөліктер бөлек масштабталатынын анықтайды.
-
HSM ролін және негізгі түйіндерді резервтеуді нақтылаңыз. Қандай операциялар HSM‑ға өтеді (сертификат, CRL, OCSP жауаптарын қол қою), өнімділік пен сеанстар шектеулері, сәтсіздік сценарийі (екінші HSM, кластер, «суық» алмастыру), ауысудың қалай көрінетіні.
-
Эксплуатацияны сипаттаңыз: әйтпесе қуат есептері шынайы өмірде тез бұзылады: кезек мониторингі, қол қою қателері, конфигурация мен базаның резервтері, жаңарту терезелері, сертификат ротация жоспарлары, журналдау және әкімшілік қолжетімдікті бақылау.
-
Пилоттық жүктеме тестін өткізіңіз және спецификацияны нақтылаңыз. Кемінде шыңның 10–20%‑ын модельдеңіз: жаппай өтініштер, параллель қол қоюлар, CRL шығару. Нәтижеге қарай CPU, дискілер, желі немесе HSM‑ды күшейту тиімді екенін анықтаңыз. Интегратордан сатып алсаңыз, алдын ала стенд немесе пилоттық жинақты сұраңыз.
PKI серверін жобалау кезінде жиі кездесетін қателіктер
Ең жиі қате — жүктемені күндік орташа бойынша есептеу. PKI шыңдарда өмір сүреді: мерзімнің аяқталуына дейінгі жаппай қайта шығару, филиал қосу, саясат өзгерісі немесе инциденттен кейінгі жедел ауыстыру. Орташаға сәйкес жобаласаңыз, шыңда қол қою кезегі өсіп, пайдаланушылар күтуге мәжбүр болады, сервис өшіп қалуы мүмкін.
Екінші мәселе — HSM‑ды «жалпы жарайды» деп алып, параметрлерді тексермеу. Алдын ала параллель сеанстар лимиті, қол қою операциялары саны, HA режимдері (актив‑актив/актив‑пассив) және ауысу процедурасын тексеріңіз. Кейде қағазда жылдам көрінген HSM шын мәнінде қосылымдар шектеуіне немесе қиын қалпына келтіру процедурасына тұрып қалады.
Тағы бір қауіп — барлық ролдерді бір түйінге қою «жөндеу үшін оңай» дегенмен қауіпті: CA, база, CRL/OCSP жариялау, веб‑регистрация және мониторинг бір машинада болса, бір компонент құлағаннан кейін бүкіл жүйе қолжетімсіз болады.
Көбіне алдын ала тексерілмейтіндер: аудит журналдарының көлемі мен өсу қарқыны, өтініш архиві, CRL сақтау және жылдамдығы; серверден бөлек кілттер, саясаттар мен сенім тізбектерін қалпына келтіру уақыты; резервтен қалпына келтіруді тексерудің тұрақты өткізілуі ("резерв бар" емес, "қайтарып, тесттік сертификатты шығардық" сияқты); қайта шығару кампаниясының жұмыстар жоспары; әкімшілерге арналған бөлек орта мен қолжетімдіктер, кездейсоқ өзгерістерден сақтау.
Егер сіз сервер және интеграцияны жергілікті өндіруші немесе интегратордан (мыс., GSE.kz) сатып алсаңыз, алдын ала типтік балама схеманы және қалпына келтіру тексерулер жоспарын көрсетуді сұраңыз. Бұл алғашқы шыңдарда айлар бойы түзетулерден үнемдейді.
Сатып алудан бұрын қысқа чек‑тізім
Конфигурацияны таңдаудан бұрын фактілер жинаңыз. Осылайша «қуатты, бірақ сәйкес емес» шешім сатып алу ықтималдығы азаяды — мысалы, HSM‑да қажетті резервсіз немесе OCSP‑та тар орын болатын шешім.
Жүктеме және шыңдар
Худший терезесін 10–15 минутқа бөлектеп, шыңдарды және бір уақытта не болатынын бекітіңіз.
- Шыңдық операцияларының есебі: шығару/қайта шығару, OCSP жауаптары, CRL жариялау/жүктеу, әкімші операциялары (аудит, есеп, резервтік көшіру).
- Нені басымды деп санайтыныңыз анық: науқан кезіндегі шығару жылдамдығы ма немесе күнделікті тұрақты OCSP жауаптарының беріктігі ме.
Криптопараметрлер мен HSM
Криптографияны бизнес‑жүйе иелері мен ақпараттық қауіпсіздікпен алдын ала келістіріңіз. Кейін алгоритмдер мен кілт ұзындықтарын өзгерту әдетте қымбатқа түседі.
- Алгоритмдер, кілт ұзындықтары, форматтар (RSA/ECDSA), мерзімдер, сертификат профильдері мен үйлесімділік талаптары бекітілсін.
- HSM өнімділігі (қол қою/сек), HA режимі, кілттермен жұмыс (backup/restore, рөлдерді бөлу, m of n) және кілт ротациясы қалай өтетіні талап етілсін.
Қолжетімділік, процестер және бақылау
Тооқтауды не санайтыныңыз бен рұқсат етілген дерек жоғалтуды анықтаңыз. Бұл резервтеу схемасына және бюджетке тікелей әсер етеді.
- RTO/RPO және резервтеу схемасы анықталған: не қайталанатыны, қалай ауысатыны, қай компонент оқуға ғана (read‑only) режимінде жұмыс істей алатыны.
- Мониторинг (кезектер, қол қою кешігулері, HSM күйі), жаңартулар және жұмыс терезелері, қолжетімдікті бекіту және аудит рәсімдері жоспарланған.
Егер инфрақұрылымды жергілікті өндірушіден және интегратордан сатып алып жатсаңыз, 24/7 қолдау кім жүргізетіні мен жергілікті бөлшектерді қаншалықты тез ауыстыратынын нақтылаңыз. Әйтпесе резервтеу қағазда ғана қала береді.
Мысал сценарий: ұйымда сертификаттарды жаппай қайта шығару
Мысалы, банк немесе ведомство 20 000 қызметкерге сертификаттарды қайта шығару науқанын бастайды. Пайдаланушылар алдын ала хабардар етілген, бірақ көпшілігі алғашқы сағаттарда келеді: сертификатсыз пошта, VPN немесе ішкі жүйе жұмыс істемейді.
Пикті қалай есептеу. Мысалы, қызметкерлердің 50%‑ы (10 000) алғашқы 2 сағатта келеді. Онда орташа өтімділік 10 000 / (2 * 3600) = 1,39 сұраныс/сек. Бірақ ағын анық түрде тең емес: алғашқы 10–15 минутта бұл 3–5 есе жоғары болуы мүмкін. Пик үшін шамамен 7 сұраныс/сек алыңыз.
Кейін бір сұранысқа нақты қанша қол қою операциясы келетінін анықтаңыз. Егер шығаруда сертификатқа қол қою және растама/токенге қол қою болса, бір сұранысқа шамамен 2 қол қою келеді. Сонда пикте шамамен 14 қол қою/сек және қателер мен қайталанулар үшін 30–50% запас қажет.
PKI‑ның бір нүктеде тұрып қалмауы үшін ролдерді бөлу тиімді:
- CA түйіні (шығару) — HSM‑ға қолжетімді;
- бөлек OCSP түйіні — тұтынушыларға жақын;
- бөлек дерекқор/журнал сервері (немесе бөлек ВМ/инстанс);
- HSM HA режимінде, егер қолжетімділік критикалық болса.
Минималды резервтеу: резервтік CA (суық не жылы), OCSP дубликациясы, дерекқордың резервтік көшірмесі мен тексерілген қалпына келтіруі, HSM‑қа қосымша карта/модуль немесе HA‑кластер.
Бастамас бұрын үш тест өткізіңіз: шыңдағы жүктеме (нақты сертификат шаблондарымен), бір түйіннің істен шығуын симуляциялау (мыс., OCSP немесе база) және қалпына келтіру уақыты мен журналдардың тұтастығын тексеру. Бұл нақты науқанда жүйенің шекарасын анықтағаннан арзанға түседі.
Келесі қадамдар: есептен енгізуге қалай өту керек
Есептерден кейін не қорғайтыныңызды және қандай тоқтаулар қабылданатынын жазып алыңыз. PKI үшін бұл тек "жылдам қол қою" емес, шыңдарда болжамды жұмыс істеу: жаппай шығару, қайта шығару, сертификаттарды қайтару, CRL жаңарту және OCSP сұраныстарын өңдеу.
Кіру деректерін жинап, ережелерді бекітіңіз: кімде кілтке қол жеткізу құқығы бар, кілт ауыстыру қалай өтеді, кім және қалай шығаруды растайды, қалпына келтіруге қанша уақыт беріледі. Бұл шешімдер архитектураға «ядро‑ядро» сияқты әсер етеді, "қанша ядро қажет" дегеннен гөрі.
Одан кейін PKI сервері, HSM және резервтеуге арналған спецификация жасаңыз. Оны қысқа құжатқа жинақтауға болады:
- қолжетімділік пен қалпына келтіру үшін мақсатты SLA (RTO/RPO);
- қол қоюға арналған шың жүктемесі (транзакциялар/сек) және шың ұзақтығы;
- HSM талаптары (интерфейстер, кластерлер, операция шектеулері, кілт резервтеу процедуралары);
- резервтеу схемасы (актив‑актив немесе актив‑пассив) және ауысу нүктелері;
- журналдау, уақыт, резервтік көшіру және логтарды сақтау талаптары.
Өндірістік іске қосуқа дейін пилот пен жүктеме тестін жоспарлаңыз. Орташа емес, нақты шың сценарийін тексеріңіз: бірнеше филиалда бір уақытта қайта шығару мен CRL жариялауды ескеріңіз. Пилотта HSM кезектерде қалай жауап беретініне, түйін істен шыққанда не болатынына және PIN енгізу немесе сенімді тұлғаның қатысуы сияқты қолмен операциялардың қанша уақыт алатынына назар аударыңыз.
Командада PKI жобалау тәжірибесі жоқ болса, жүйелік интеграторды дизайн және тесттер кезеңінде тартқан жөн. Жергілікті өндіріс пен қолдауды бағалайтын жобаларда GSE.kz‑тің S200 стойкалық серверлері, дата‑орталық шешімдері мен тәулік бойы техникалық қолдауы сияқты нұсқаларды қарастыру тиімді болуы мүмкін — бұл есептен тұрақты эксплуатацияға өтуге көмектеседі.
FAQ
С чего начать выбор сервера под PKI, если пока нет точных цифр?
Бастапқыда нақты сандар болмаса да, шынымен болатын шың сәттерден бастаңыз, орташа күнмен емес. Белгілеңіз: қай терезелерде өтініштер бірден келеді (таңғы кіру, сертификаттарды ауыстыру науқаны, филиалдарды қосу) және шыңда бір сертификатты шығару үшін қанша секунд уақыт беру керектігін анықтаңыз.
Как правильно оценить нагрузку на подпись, а не просто «сертификатов в день»?
Подписьті бөлек есептеңіз: сертификатқа қол қою, OCSP жауаптарын қол қою және CRL‑ды қол қою — олардың әрқайсысының жүктемесі әртүрлі. Науқанды ең нашар 10–15 минутке аударыңыз: сол терезедегі «қол қою операциялары/сек» мәнін алыңыз және клиенттердің қателері мен қайталауына қосымша қор қойыңыз.
Почему нельзя проектировать PKI по среднему числу заявок?
PKI — шыңдармен жұмыс істейтін жүйе. Егер жүйе орташа ағынды көтерсе де таңғы пик немесе жаппай ауыстыру кезінде жұмыс істемей қалса, кідіріс сағаттарға созылып, жүйелер қайталап сұрау жіберіп қосымша жүктеме тудырады және тәуелді сервистер тоқтауы мүмкін.
Где обычно появляются узкие места в PKI?
Көбінесе тар орындар: CA‑дағы қол қою операциялары, көп қысқа OCSP‑сұранысты өңдеу және журналдар мен аудитке байланысты дискілік подсистема/мәліметтер қоры. Практикада «баяу» болу сервердің құлауынан емес, кезектерден, CRL жариялаудың кешігуінен және компоненттердің сәйкес келмеуінен болады.
Какие роли PKI можно совмещать на одном сервере, а какие лучше разделять?
Бастапқыда RA, портал және база бір жерде болуы мүмкін — іске қосу оңай. Бірақ CA‑ны (қол қоятын) бөлек және қауіпсіз жерге қою жөн; OCSP‑ты көп сұраныс болса бөлек түйінге шығару тиімдірек — бұл жауап уақытының тұрақтылығын сақтайды.
Как понять, потянет ли инфраструктура OCSP, если проверок очень много?
OCSP үшін тұрақты жауап уақыты мен сұраныстардың көптігі маңызды. Мақсатты кешігу миллисекундпен өлшенсін және жүктеме кезінде клиенттер қайталап сұрауды бастамауын қадағалаңыз. Тестілеу кезінде жұмыс уақытындағы мақсатты жауап уақытын тексеріңіз.
Нужен ли HSM сразу, и как он влияет на выбор сервера?
HSM қауіпсіздікті арттырады, бірақ өнімділікке әсер етеді: сервер тез болғанымен HSM‑дың қол қою лимиттері немесе сеанстар саны шектеуі мүмкін. Сатып алмас бұрын қандай операциялар міндетті түрде HSM ішінде жалғасатынын, қандай HA режимі қажет екенін және сәтсіздік кезінде ауысу қалай болатынын шешіңіз.
Какие параметры HSM чаще всего становятся проблемой в пике?
HSM‑дың проблемалары көбіне: нақты алгоритм мен кілт ұзындығына сәйкес «секундына қол қоюлар» көрсеткіші, параллель сеанстар саны және жаңа сеанстарды ашу жылдамдығы. Сонымен қатар аудит, кілттердің резерві мен қалпына келтіру процедурасын тексеріңіз — олар нақты қолжетімділікті анықтайды.
Как выбрать стратегию резервирования для PKI?
RTO/RPO‑ны әр компонент үшін бөлек анықтаңыз: шығару, OCSP және CRL‑дың әрқайсысының рұқсат етілген тоқтап тұру уақыты әр түрлі болуы мүмкін. CA үшін актив‑резерв қарапайым әрі айқын; OCSP үшін көп жағдайда дублирлеу керек; георезерв — сайттың ақауы қабылданбайтын жағдайда қажет.
Какие тесты стоит провести перед промышленным запуском PKI?
Пилот міндетті түрде үш тексеруден өтуі керек: шыңдықтағы жүктемені имитациялау (реалды шаблондармен), бір түйіннің (мысалы, OCSP немесе база) істен шығуын симуляциялау және қалпына келтіру уақыты мен журналдар бүтіндігін тексеру. Бұл алғашқы науқанда шектен тыс мәселелерді болдырмайды.