인트라넷을위한 자체 CA 만들기 에 대한 의견에서 여러 사람은 강력히 권장합니다. 인트라넷 용 CA 생성.
특히 :
하지 마십시오. 아니요. 나쁜 생각입니다. $ 10 CA를 구입하십시오. 대신 서명 된 인증서입니다. 자신의 CA가되지 마십시오. 아뇨. 나쁜 생각 — KristoferA
또한 :
echo “여기에 들어온 자들아, 모든 희망을 버리십시오.” — Tom Leek
판매하는 임의의 CA를 더 신뢰해야하는 이유 회사 자체 IT 부서보다 $ 10에 대한 인증서입니까?
(저는 공급 업체 나 고객이 서명 한 인증서를 저보다 1, 2 더 신뢰하는 경향이 있습니다. 공통 루트 CA가 서명 한 인증서를 신뢰합니다.)
- CA 서버를 안전하게 유지하는 것이 문제입니까?
- 루트 인증서를 배포하고 설치하는 것이 문제입니까?
- RA 및 / 또는 최신 CRL 배포가 문제입니까?
- 인증서를받는 사람 또는 대상을 제한하고 인증서에 서명하는 사람 또는 대상을 제한하고 있습니까?
- 다른 문제가 있습니까? (아마도 보안 CA의 모든 필수 측면에 대한 나의 제한된 지식과 일반적인 다른 IT 전문가의 제한된 지식입니다. KristoferA , Tom Leek 및 다른 사람들은«homebrew»CA “를 강력히 권장합니다.
아마도 전문 CA는 처음 세 가지 영역에서 더 많은 전문 지식을 보유하고 있으며 자신의 CA를 만드는«smug»보다 더 잘할 수 있습니다 . 그러나 여전히 신뢰의 요소는 특히 마지막 부분에서 떠 오릅니다.
1.) 우리 회사가 이러한 공급 업체 및 고객과 장기적인 관계를 유지하고 있다는 점을 감안할 때
2.) 자체 서버 및 직원에 대한 인증서로 제한됩니다.
댓글
답변
자체 내부를 실행하는 데 전혀 문제가 없습니다. 인증 기관; 내가 상호 작용 한 대부분의 대기업에는 자체 내부 CA가 있습니다.
장점
- 충분한 시스템과 사용자에 대해 상각 할 경우 인증서의 명목 비용은 거의 0이됩니다. 외부 CA에서 인증서를 구매하는 경우에는 결코 그렇지 않습니다.
- 단일 대신 내부 그룹에 소유권을 할당 할 수 있으므로 인증서 만료 및 갱신을 관리하는 것이 훨씬 더 쉬울 수 있습니다. 요청한 사용자.
- *. test.company.com과 같은 하위 도메인에 대한 와일드 카드 인증서를 만드는 것과 같이 외부 CA로 수행하기 매우 어렵거나 비용이 많이 드는 모든 종류의 깔끔한 작업을 수행 할 수 있습니다. 테스트 목적으로 이상하고 잘못된 인증서 생성 (SHA-1 2017, 512 비트 RSA 등)
단점
- CA를 운영하는 것은 정말 어렵습니다. 자체 내부 CA의 경우 “실제 CA와 같은 수준의 보안 제어가 필요하지는 않지만 여전히 매우 복잡합니다.
- CA는 확실히 저렴하지 않습니다. 적어도 미국에서는 암호화 및 / 또는 PKI에 대한 강력한 지식을 가진 사람들이 6 자리 숫자를 만들 것이라고 예상 할 수 있습니다.
- CA를 보유하는 것만으로는 충분하지 않으며 시스템도 구축해야합니다. 인증서를 요청하고 해지를 처리하기위한 웹 사이트 / API, 인증서 갱신을위한 알림 시스템, 루트 인증서를 푸시하기위한 설치 패키지 등이 있습니다.이 많은 것을 관리하는 소프트웨어 패키지를 구입할 수는 있지만 그렇지 않습니다.
충분히 대기업의 경우 이러한 모든 외부 인증서를 구매하는 비용과 이에 수반되는 유연성 손실이 자체 CA를 생성하기에 충분한 중요한 문제가되는 티핑 포인트가 있습니다. .
그렇지 않으면 이에 대해 경고 한 사람들의 의견에 동의합니다. 대부분의 중소기업에서 자체 CA를 운영하는 것은 경제적이지 않습니다. 그 문제를 전문으로하는 회사와 거래하십시오. 연간 10 달러의 ts는 잘 운영되는 내부 CA를 설정하는 비용과 비교할 때 도용입니다.
요약
신뢰에 관한 것이 아니라 비용에 관한 것입니다.
댓글
- 50,000 개 1 년에 10 달러의 인증서를 받으면 7 자리 합계가되는 데 366 일밖에 걸리지 않습니다.내부 CA를 설정하는 데 투자하는 비용은 매우 저렴할 수 있으며 그 전문 지식을 최고로 판매 할 수도 있습니다.
- @AndrewLeach, 중소 규모 기업의 경우 모든 직원 + 모든 직원 (가상 ) 서버 + 모든 애플리케이션의 총 합이 50,000 개가 아닐 것입니다.
- @KaspervandenBerg가 인증서 수량에 대해 말한 것 외에도 연간 5 만 개의 인증서를 생성하는 내부 CA에는 아마도 여러 직원이 필요할 것입니다. 유지하고 개발합니다. 이로 인해 ' 중형주 (또는 대기업) 외부의 CA 또는 이미 사내에 전문 지식을 보유하고있을 수있는 기술 회사 외부에서 CA를 찾는 경우는 드뭅니다.
li>
*.local
,*.mycompany
또는 이와 유사한 내부 호스트 이름이있는 경우 공용 CA가 더 이상 실행되지 않으므로 내부 CA를 실행할 방법이 없습니다. 비공개 도메인에 대한 인증서를 발급합니다.