it-swarm-eu.dev

CA pro velký intranet

Spravuji to, co se stalo velmi velkým intranetem (více než 100 různých hostitelů/služeb), a v blízké budoucnosti bude klesat ze své role. Chci věci usnadnit pro příští oběť osoba, která zaujímá mé místo.

Všichni hostitelé jsou zabezpečeni prostřednictvím SSL. To zahrnuje různé portály, wiki, systémy pro zadávání dat, HR systémy a další citlivé věci. Používáme certifikáty s vlastním podpisem, které fungovaly o.k. v minulosti, ale nyní jsou problematické, protože:

  • Prohlížeče uživatelům ztěžují porozumět přesně tomu, co se děje, když dojde k podepsání vlastního certifikátu, mnohem méně je akceptovat.

  • Zřízení nového hostitele znamená 100 telefonních hovorů s dotazem, co znamená „Přidat výjimku“

Co jsme dělali, je import importovaných certifikátů, když jsme založili novou pracovní stanici. To bylo v pořádku, když jsme se museli vypořádat jen s tuctem, ale teď je to prostě ohromující.

Naše I.T. Oddělení to klasifikovalo jako ya all's problem, vše, co od nich získáme, je podpora konfigurace přepínačů a routerů. Kromě toho, že uživatel má připojení, vše ostatní je na správcích intranetu.

Máme kombinaci pracovních stanic Ubuntu a Windows. Chtěli bychom si nastavit vlastní kořenový certifikační úřad CA, který může podepisovat certifikáty pro každého hostitele, který nasazujeme na intranetu. Klientským prohlížečům by samozřejmě bylo řečeno, aby věřili našim CA.

Moje otázka zní: Bylo by to nebezpečné a měli bychom se raději vydat na přechodné certifikáty od někoho, jako je Verisign? Ať tak či onak, stále musím importovat kořen pro zprostředkující CA, takže opravdu nevidím, jaký je rozdíl?

Co by nás Verisign dělal kromě toho, že by nám účtoval peníze, co bychom nemohli udělat, kromě ochrany kořenového certifikátu CA, aby nemohl být použit k padělání?

3
Tim Post

Zkrátka: nevidím důvod, proč byste měli používat komerční certifikát. Vlastní podpis je - v tomto případě - dostačující (IMHO). Pro E-Commerce používám pouze Verisign (nebo levnější GoDaddy), protože zákazník si může být jist, že byla zkontrolována totožnost majitele.

Chcete-li nastavit vlastní certifikační autoritu (která by ve vašem případě měla obsahovat kořenový certifikát a mnoho „dílčích“ útržků), programy, jako je TinyCA, vám pomohou získat přehled.

U stolních počítačů Ubuntu můžete pomocí UCK nastavit vlastní instalační CD s certifikátem uvnitř. Pro Windows nevím "best practice", ale myslím, že programy jako OPSI (Open Source) mohou pomoci (nikdy jsem to nezkusil).

Doufám, že jsem pochopil, že máte pravdu, a tato odpověď pomůže. Jinak mě prosím facku. :-)

2
fwaechter

Kromě odpovědi společnosti fwa - pokud jste v prostředí Windows/Active Directory, můžete nastavit interní certifikační autoritu, která se automaticky vloží do kořenového úložiště certifikátů všech počítačů ve vaší doméně. Tuto funkci vlastně zabudoval do systému Windows.

Musíte pouze nainstalovat službu Certifikační autority do počítače a poté aktualizovat svůj GPO, aby odrážel nový CA. Jak na to, měli byste se zeptat na Server Fault , ale budete potřebovat vstup vašich IT kluků, aby to bylo hotovo.

1
Mark Henderson