Vraag Voors en tegens van het creëren van een Internal Cerificate Authority


Wat zijn de voor- en nadelen van het draaien van een interne certificeringsinstantie (voornamelijk Windows 2003 CA)? We hebben de noodzaak om server-serververkeer in te zetten voor een project met meer dan 20 certificaten. We konden certificaten van Verisign kopen, maar ik dacht dat een interne certificeringsinstantie een betere langetermijnoplossing zou kunnen zijn. Dus ik was op zoek naar de gemeenschap om een ​​voor- en nadelen lijst te geven van wat we zouden kunnen winnen (of verliezen) door onze eigen CA te hosten? Alvast bedankt voor de hulp.


6
2018-05-13 02:23


oorsprong




antwoorden:


Als u uw eigen CA host, is deze alleen geldig op sites / computers waarop het CA-basiscertificaat is geïnstalleerd. Met andere woorden, alleen omdat u uw eigen CA hebt, betekent dit niet dat uw certificaten worden vertrouwd door vreemden.

Als al uw servers in eigen beheer zijn en toegankelijk zijn met interne software, dan is uw eigen CA de juiste keuze. U kunt het basiscertificaat van de CA implementeren op basis van het groepsbeleidsobject (als u zich op een domein bevindt en de CA-rol in een server installeert, moet dit automatisch gebeuren), en vervolgens vertrouwt elke machine in uw domein dit automatisch.

Als uw software echter openbaar toegankelijk is (klinkt dit niet zoals het is), kan de software aan de andere kant heel goed waarschuwingswaarschuwingen bevatten waarin staat dat het uw gepubliceerde niet vertrouwt. In dat geval is de enige optie die u hebt, om een ​​SSL-certificaat van een vertrouwde uitgever te kopen (er zijn plaatsen die veel, veel goedkoper zijn dan Verisign als u hun verzekeringspolissen niet nodig hebt).


12
2018-05-13 02:26



tekstboek antwoord !! - Nick Kavadias
Ik denk dat ik een studieboek moet schrijven. Alle studieboeken die ik bij Uni gebruikte, waren zo ongelooflijk technisch en moeilijk te lezen dat ik er na het eerste semester gewoon geen moeite mee had om ze te kopen en alleen maar notities uit de klas gebruikten. - Mark Henderson♦


Een interne CA is alleen geldig binnen servers die u bezit en externe certificaten zijn overal goed. Dat is het basisantwoord, maar er is nog veel meer te overwegen.

Pros

Kosten per cert kosten zijn goedkoper naarmate u meer certs genereert

Herroeping - het is heel gemakkelijk om een ​​certificaat dat u hebt gegenereerd in te trekken en u kunt uw certificaten korte geldigheidstijden geven

Toegang tot gratis certificaten betekent meestal een groter gebruik. Gewoonlijk zullen mensen beginnen met het ondertekenen van hun e-mails en denken admins na over het gebruik van domein- en serverisolatie in gemengde omgevingen.

Cons

Aanvullende beveiligingsvereisten: deze machine is mogelijk belangrijker om te beveiligen dan een domeincontroller. Dit systeem moet volledig worden gehard. Als u deze certificaten gebruikt voor alles wat zinvol is, moet u de gevolgen overwegen als die certificaten in gevaar komen

Back-up / hoge beschikbaarheid - Niets zegt slecht weekend, zoals HR laten weten dat uw nu overleden CA hen een cert heeft gegeven die ze gebruikten om de loonlijstbestanden te versleutelen en nu de bestanden niet kan decoderen omdat de cert niet kan worden gevalideerd. Zorg ervoor dat er vaak een back-up van wordt gemaakt en is hoogst beschikbaar

Aansprakelijkheid - afhankelijk van wat u wilt gebruiken voor sommige C-niveaus kan exec beslissen dat al dat geld dat zij uitgeven aan VeriSign-certificaten verspilling is omdat zij uw certificaten prima hebben gebruikt. Als uw certificaten in gevaar komen en het een VeriSign cert is (en ik gebruik VeriSign gewoon als tijdelijke aanduiding voor een CA van een derde partij), dan is dat eenvoudig om aan te tonen dat het niet uw schuld is. Als u de CA bezit, dan is het mogelijk dat uw volgende IT-ervaring de geautomatiseerde kassa in het fastfoodrestaurant van uw keuze zou kunnen draaien.

Onvermogen om de cert extern te gebruiken- Het is niet onmogelijk om uw CA openbaar te maken, niemand gaat een cert van uw bedrijf vertrouwen. Hoewel dat geen groot probleem is, is het een beetje meer overhead om 2 aparte cert onderhoudstaken (vervaltijden etc.) te onderhouden. U kunt ook overwegen een vertrouwde root-cert te kopen

Oh en als je EV-certificaten nodig hebt, ben je aan het upgraden naar Windows 2008

Hoewel het lijkt alsof er meer nadelen zijn, zijn veel van deze dingen slechts een kwestie van bewust zijn in plaats van een echte negatieve indicator.


5
2018-05-13 03:51





Voor een hele reeks interne servers kunt u certificaten naar behoefte maken en deze veel sneller installeren dan externe CA. Je hebt een beetje ervaring nodig. Hulpmiddelen zoals tinyca maken het vrij eenvoudig om een ​​CA te maken. Voor openbaar toegankelijke servers wilt u certificaten van een externe bron.

Certificaten voor het versleutelen van verkeer worden vaak intern gegenereerd. Als u alleen verbindingen van uw CA toestaat, hoeft u zich geen zorgen te maken dat iemand een certificaat van uw externe CA ontvangt en lid wordt van uw netwerk. In dit geval kunnen de goedkopere oplossingen veiliger zijn.


0
2018-05-13 06:50