In den Kommentaren zu Erstellen einer eigenen Zertifizierungsstelle für ein Intranet raten mehrere Personen dringend davon ab Erstellen einer eigenen Zertifizierungsstelle für ein Intranet.
Insbesondere:
Tun Sie das nicht. Nein. Schlechte Idee. Kaufen Sie 10 CA-Dollar stattdessen signierte Zertifikate. Seien Sie nicht Ihre eigene Zertifizierungsstelle. Nein, nein. Schlechte Idee – KristoferA
Aber auch:
echo „Gib alle Hoffnung auf, ihr, die ihr hier eintretet.“ – Tom Leek
Warum sollte man einer beliebigen CA, die verkauft, mehr Vertrauen schenken? Zertifikate für 10 US-Dollar als in der firmeneigenen IT-Abteilung?
(Ich bin sogar geneigt, Zertifikaten zu vertrauen, die von Lieferanten oder Kunden 1, 2 mehr als ich signiert wurden würde Zertifikaten vertrauen, die von den allgemeinen Stammzertifizierungsstellen signiert wurden.)
- Ist die Sicherheit des CA-Servers das Problem?
- Verteilen und installieren Sie Stammzertifikate Problem?
- Ist die RA und / oder die Verteilung aktueller CRLs das Problem?
- Ist die Einschränkung, wer oder was ein Zertifikat erhält und wer oder was ein Zertifikat signiert, ein Problem?
- Irgendwelche anderen Probleme? (Vielleicht mein begrenztes Wissen und das begrenzte Wissen anderer IT-Experten im Allgemeinen über alle wesentlichen Aspekte für eine sichere Zertifizierungsstelle. Warum KristoferA , Tom Leek und andere raten dringend von «homebrew» CAs ab.
Wahrscheinlich verfügt eine professionelle Zertifizierungsstelle über mehr Fachwissen in den ersten drei Bereichen und könnte besser abschneiden als jeder «Selbstgefällige», der seine eigene Zertifizierungsstelle erstellt. Dennoch kommt der Vertrauensfaktor besonders für den letzten Teil in den Sinn.
1.) Angesichts der Tatsache, dass mein Unternehmen eine langfristige Beziehung zu diesen Lieferanten und Kunden hat.
2.) Beschränkt auf Zertifikate über ihre eigenen Server und Mitarbeiter.
Kommentare
- If Wenn Sie interne Hostnamen wie
*.local
,*.mycompany
oder ähnliches haben, führt kein Weg daran vorbei, eine interne Zertifizierungsstelle auszuführen, da öffentliche Zertifizierungsstellen dies nicht mehr tun Stellen Sie Zertifikate für nicht öffentliche Domänen aus.
Antwort
Es ist überhaupt nichts Falsches daran, Ihre eigenen internen Domänen auszuführen Zertifizierungsstelle; Die überwiegende Mehrheit der großen Unternehmen, mit denen ich interagiert habe, verfügt über eine eigene interne Zertifizierungsstelle.
Vorteile
- Die nominalen Kosten eines Zertifikats werden nahezu Null, wenn es über genügend Systeme und Benutzer abgeschrieben wird. Wenn Sie Zertifikate von einer externen Zertifizierungsstelle kaufen, wird dies niemals der Fall sein.
- Es kann viel einfacher sein, das Ablaufen und Erneuern von Zertifikaten zu verwalten, da Sie den Besitz einer internen Gruppe anstelle einer einzelnen zuweisen können Benutzer, der es angefordert hat.
- Sie können alle möglichen netten Dinge erledigen, die mit externen Zertifizierungsstellen sehr schwierig oder teuer sind, z. B. das Erstellen von Platzhalterzertifikaten für Subdomains wie * .test.company.com oder Erstellen seltsamer ungültiger Zertifikate zu Testzwecken (SHA-1 2017, 512-Bit-RSA usw.)
Nachteile
- Das Ausführen einer Zertifizierungsstelle ist sehr schwierig. Für Ihre eigene interne Zertifizierungsstelle benötigen Sie natürlich nicht die Sicherheitskontrollen einer echten Zertifizierungsstelle, aber es ist immer noch recht komplex.
- Die Personen, die in der Lage sind, eine zu erstellen und auszuführen CA sind sicherlich nicht billig; Zumindest in den USA können Sie davon ausgehen, dass Personen mit fundierten Kenntnissen in Kryptografie und / oder PKI sechsstellige Zahlen machen.
- Es reicht nicht nur aus, eine Zertifizierungsstelle zu haben, sondern Sie müssen auch Systeme erstellen Websites / APIs zum Anfordern von Zertifikaten und zum Behandeln von Widerrufen, Benachrichtigungssysteme für die Zertifikatserneuerung, Installationspakete zum Herausgeben von Stammzertifikaten usw. Sie könnten ein Softwarepaket kaufen, das viel davon für Sie verwaltet, aber das ist sicherlich nicht der Fall Auch kostenlos.
Für ausreichend große Unternehmen wird es zu einem Wendepunkt, an dem die Kosten für den Kauf all dieser externen Zertifikate und der damit verbundene Verlust an Flexibilität zu einem Problem werden, das ausreicht, um eine eigene Zertifizierungsstelle zu erstellen
Ansonsten stimme ich denen zu, die Sie davor gewarnt haben: Für die überwiegende Mehrheit der kleinen und mittleren Unternehmen ist es einfach nicht wirtschaftlich, eine eigene Zertifizierungsstelle zu betreiben, was weitaus sinnvoller ist Gehen Sie einfach mit einem Unternehmen um, das sich auf diese Angelegenheit spezialisiert hat. Sogar tausend Cer Ein Preis von 10 USD pro Jahr ist ein Schnäppchen im Vergleich zu den Kosten für die Einrichtung einer gut geführten internen Zertifizierungsstelle.
Zusammenfassung
Es geht nicht um Vertrauen, es geht um Kosten.
Kommentare
- Mit 50.000 Zertifikate für 10 USD / Jahr, es dauert nur 366 Tage, um eine siebenstellige Summe zu erhalten.Die Investition in die Einrichtung einer internen Zertifizierungsstelle kostet möglicherweise weniger, und Sie können dieses Fachwissen sogar zusätzlich verkaufen.
- @AndrewLeach, für ein kleines bis mittelständisches Unternehmen ein Zertifikat für jeden Mitarbeiter + jeden (virtuellen) ) server + jede Anwendung wird wahrscheinlich nicht 50.000 ergeben.
- Zusätzlich zu den Aussagen von @KaspervandenBerg zur Anzahl der Zertifikate werden für eine interne Zertifizierungsstelle, die 50.000 Zertifikate pro Jahr generiert, wahrscheinlich mehrere Mitarbeiter benötigt zu pflegen und zu entwickeln. Aus diesem Grund habe ich ' festgestellt, dass es selten ist, Zertifizierungsstellen außerhalb von Mid-Cap-Unternehmen (oder größeren Unternehmen) oder Technologieunternehmen zu finden, die möglicherweise bereits über dieses interne Fachwissen verfügen. Dies ist der dritte Nachteil für das Windows-Netzwerk von Joe Average ': Durch die Installation der CA-Rolle auf einem Server erhalten Sie die Website und die Wiederherstellungspunkte in ldap sofort und können Ihre hinzufügen Die vertrauenswürdige Stammzertifizierungsstelle kann schnell per Gruppenrichtlinienobjekt ausgeführt werden.
- @HagenvonEitzen Die Herausforderungen werden immer größer, wenn Sie Nicht-Windows-Geräte haben, die alle der Stammzertifizierungsstelle vertrauen müssen. Mobile Testgeräte, Programme mit eigenem Zertifikatspeicher (Firefox, Java, insbesondere auf Linux-Servern usw.), Macs. Was ich ' in meinem Unternehmen gefunden habe, ist, dass viele Leute ' nicht verstehen, dass wir eine interne Zertifizierungsstelle haben und nur versuchen, diese zu verwalten Manuelles Akzeptieren der " ungültigen cert " Nachricht.