イントラネット用に独自のCAを作成する場合の問題は何ですか?

イントラネット用に独自のCAを作成するへのコメントでは、何人かの人々が強く反対しています。イントラネット用に独自のCAを作成します。

特に:

しないでください。いいえ。悪い考えです。10ドルのCAを購入してください。代わりに署名された証明書。自分のCAにならないでください。いいえ、違います。悪い考え— KristoferA

しかしまた:

echo “ここに入るあなたがたは、すべての希望を捨てなさい。” — Tom Leek

販売する任意のCAにもっと信頼を置く必要があるのはなぜですか自社のIT部門よりも10ドルの証明書ですか?

(私は、サプライヤまたはクライアントによって署名された証明書を信頼する傾向があります 1、2 共通のルートCAによって署名された証明書を信頼します。)

  • CAサーバーのセキュリティを維持していますか?
  • ルート証明書の配布とインストールは問題?
  • RAおよび/または最新のCRLの配布に問題がありますか?
  • 証明書を受け取る人または対象を制限し、証明書に署名する人または対象を制限していますか?
  • その他の問題はありますか?(おそらく、安全なCAのすべての重要な側面について、私の限られた知識、および他のITプロフェッショナルの限られた知識です。その理由は KristoferA Tom Leek などは、«自作»CA “に対して強くアドバイスします。

おそらく、プロのCAは、最初の3つの分野でより多くの専門知識を持ち、独自のCAを作成する「スマグ」よりも優れた能力を発揮する可能性があります。 しかし、それでも信頼の要素は、特に最後の部分で頭に浮かびます。


1。)私の会社がこれらのサプライヤーやクライアントと長期的な関係を持っていることを考えると。

2。)自分のサーバーと従業員に関する証明書に制限されます。

コメント

  • If *.local*.mycompanyなどの内部ホスト名がある場合、パブリックCAは廃止されるため、とにかく内部CAを実行する方法はありません。非パブリックドメインの証明書を発行します。

回答

独自の内部を実行することに何の問題もありません証明する機関;私が関わった大企業の大多数は、独自の内部CAを持っています。

利点

  • 十分な数のシステムとユーザーで償却すると、証明書の名目コストはほぼゼロになります。外部CAから証明書を購入する場合、これが当てはまることはありません。
  • 所有権を単一のグループではなく内部グループに割り当てることができるため、証明書の有効期限と更新の管理がはるかに簡単になります。
  • *。test.company.comなどのサブドメインのワイルドカード証明書を作成するなど、外部CAで行うのが非常に困難または費用がかかる、あらゆる種類のきちんとしたことを行うことができます。テスト目的で奇妙な無効な証明書を作成する(SHA-1 2017、512ビットRSAなど)

欠点

  • CAの実行は非常に困難です。独自の内部CAの場合、実際のCAのレベルのセキュリティ制御を行う必要はありませんが、それでも非常に複雑です。
  • 作成および実行できるユーザーCAは確かに安くはありません。少なくとも米国では、暗号化やPKIの知識が豊富な人が6つの数字を作成することが期待できます。
  • CAを用意するだけでなく、システムを構築する必要もあります。証明書を要求して失効を処理するためのWebサイト/ API、証明書更新の通知システム、ルート証明書をプッシュするためのインストールパッケージなど。これを多く管理するソフトウェアパッケージを購入することもできますが、それは確かにそうではありません。

十分に大規模な企業の場合、これらすべての外部証明書の購入コストとそれに伴う柔軟性の喪失が、独自のCAを作成するのに十分な重大な問題になる転換点になります。 。

それ以外の場合は、警告を発した人たちに同意します。中小企業の大多数にとって、独自のCAを実行するのは経済的ではありません。問題を専門とする会社と取引するだけです。年間10ドルのtsは、適切に実行された内部CAをセットアップするコストと比較すると、盗みです。

概要

信頼ではなく、コストです。

コメント

  • 50,000証明書は年間10ドルで、7桁の合計になるのに366日しかかかりません。内部CAの設定に投資することで、コストを大幅に削減でき、その専門知識を上に売り込むこともできます。
  • @AndrewLeach、中小規模の企業の場合、すべての従業員+すべての(仮想)サーバー+すべてのアプリケーションの合計が50,000になることはおそらくないでしょう。
  • @KaspervandenBergが証明書の数について述べたことに加えて、年間5万の証明書を生成する内部CAには、おそらく数人の従業員が必要になります。維持し、発展させる。そのため、'中堅(または大規模)企業またはすでにその専門知識を社内に持っている可能性のあるテクノロジー企業以外のCAを見つけることはめったにありません。
  • Joe Average 'のWindowsネットワークの3番目の欠点:サーバーにCAの役割をインストールすると、LDAPにWebサイトと再起動ポイントがすぐに追加されます。信頼されたルートCAは、GPOごとに迅速に実行できます
  • @HagenvonEitzen、すべてがルートCAを信頼する必要があるWindows以外のデバイスがある場合、課題が山積し始めます。モバイルテストデバイス、独自の証明書ストアを備えたプログラム(Firefox、Java、特にLinuxサーバーなど)、Mac。私の会社で'見つけたのは、多くの人が'内部CAがあることを理解しておらず、 "無効な証明書"メッセージを手動で受け入れます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です