W komentarzach do tworzenia własnego CA dla intranetu kilka osób zdecydowanie odradza tworzenie własnego CA dla intranetu.
Szczególnie:
nie rób tego. Nie. Zły pomysł. Kup 10 USD za CA zamiast tego podpisane certyfikaty. Nie bądź własnym urzędem certyfikacji. Nie. Nie. Zły pomysł – KristoferA
Ale także:
echo „Porzućcie wszelką nadzieję, wy, którzy tu wchodzicie.” – Tom Leek
Dlaczego warto bardziej ufać dowolnemu CA, które sprzedaje certyfikaty za 10 USD niż w dziale IT firmy?
(Jestem nawet skłonny ufać certyfikatom podpisanym przez dostawców lub klientów 1, 2 więcej niż ja zaufałby certyfikatom podpisanym przez wspólne główne urzędy certyfikacji.)
- Czy problemem jest zapewnienie bezpieczeństwa serwera CA?
- Czy dystrybucja i instalowanie certyfikatów głównych jest problem?
- Czy przyczyną problemu jest RA i / lub dystrybucja aktualnych list CRL?
- Czy ograniczanie, kto lub co otrzymuje certyfikat i kto lub co podpisuje certyfikat, jest problemem?
- Jakieś inne problemy? (Być może moja ograniczona wiedza i ogólnie ograniczona wiedza innych informatyków na temat wszystkich istotnych aspektów bezpiecznego urzędu certyfikacji. Dlaczego KristoferA , Tom Leek i inni stanowczo odradzają „homebrew” CA „.
Prawdopodobnie profesjonalny CA będzie miał większe doświadczenie w pierwszych trzech obszarach i mógłby poradzić sobie lepiej niż jakikolwiek „zadowolony z siebie”, który tworzy własny CA. Ale wciąż przychodzi na myśl czynnik zaufania, zwłaszcza w ostatniej części.
1.) Biorąc pod uwagę, że moja firma ma długotrwałe relacje z tymi dostawcami i klientami.
2.) Ograniczone do certyfikatów dotyczących ich własnych serwerów i pracowników.
Komentarze
Odpowiedź
Nie ma nic złego w prowadzeniu własnego wewnętrznego urząd certyfikacji; zdecydowana większość dużych firm, z którymi się kontaktowałem, ma własne wewnętrzne CA.
Zalety
- Nominalny koszt certyfikatu staje się prawie zerowy, gdy jest amortyzowany przez wystarczającą liczbę systemów i użytkowników; przy zakupie certyfikatów z zewnętrznego urzędu certyfikacji nigdy tak się nie stanie.
- Zarządzanie wygaśnięciem i odnowieniem certyfikatu może być o wiele łatwiejsze, ponieważ można przypisać własność do grupy wewnętrznej, a nie pojedynczej użytkownik, który o to poprosił.
- Możesz robić różne fajne rzeczy, które są bardzo trudne lub kosztowne w przypadku zewnętrznych urzędów certyfikacji, na przykład tworzenie certyfikatów typu wildcard dla subdomen, takich jak * .test.company.com lub tworzenie dziwnych nieprawidłowych certyfikatów do celów testowych (SHA-1 2017, 512-bitowy RSA itp.)
Wady
- Prowadzenie urzędu certyfikacji jest naprawdę trudne. W przypadku własnego wewnętrznego urzędu certyfikacji nie musisz oczywiście mieć kontroli bezpieczeństwa na poziomie prawdziwego urzędu certyfikacji, ale jest to nadal dość złożone.
- Osoby, które są w stanie tworzyć i obsługiwać CA z pewnością nie są tanie; przynajmniej w Stanach Zjednoczonych można się spodziewać, że osoby z dobrą znajomością kryptografii i / lub PKI będą szły sześciocyfrowe.
- Nie wystarczy mieć urząd certyfikacji, trzeba też budować systemy strony internetowe / API do żądania certyfikatów i obsługi unieważnień, systemy powiadamiania o odnowieniu certyfikatów, pakiety instalacyjne do wypychania certyfikatów głównych itp. Możesz kupić pakiet oprogramowania, który zarządza wieloma tym za Ciebie, ale to z pewnością nie jest za darmo.
Dla wystarczająco dużych firm pojawia się punkt zwrotny, w którym koszt zakupu wszystkich tych zewnętrznych certyfikatów i związana z tym utrata elastyczności staje się wystarczająco istotnym problemem, aby utworzyć własny ośrodek CA .
W przeciwnym razie zgadzam się z tymi, którzy ostrzegali przed tym: dla zdecydowanej większości małych i średnich firm prowadzenie własnego CA jest po prostu nieopłacalne; znacznie bardziej sensowne jest po prostu zajmij się firmą, która się w danej sprawie specjalizuje, nawet tysiąc centów 10 USD rocznie to okazja w porównaniu z kosztem założenia dobrze zarządzanego wewnętrznego CA.
Podsumowanie
Nie chodzi o zaufanie, chodzi o koszt.
Komentarze
- Z 50 000 certyfikatów po 10 USD rocznie, wystarczy 366 dni, aby uzyskać siedmiocyfrową sumę.Inwestowanie w utworzenie wewnętrznego urzędu certyfikacji może kosztować mniej, a nawet można sprzedać tę wiedzę jako dodatek.
- @AndrewLeach, dla małej lub średniej firmy certyfikat dla każdego pracownika + każdy (wirtualny ) serwer + każda aplikacja prawdopodobnie nie sumuje się do 50 000.
- Oprócz tego, co @KaspervandenBerg powiedział o liczbie certyfikatów, wewnętrzny ośrodek CA, który generuje 50 000 certyfikatów rocznie, prawdopodobnie będzie wymagał kilku pracowników utrzymać i rozwijać. Z tego powodu ' stwierdziłem, że rzadko można znaleźć CA spoza firm o średniej kapitalizacji (lub większych) lub firm technologicznych, które mogą już mieć taką wiedzę wewnętrzną.
- re trzecia diadvantage dla Joe Average ' s sieci Windows: Zainstalowanie roli CA na serwerze zapewnia natychmiastowe udostępnienie strony internetowej i punktów ponownych w ldap oraz dodanie Główny urząd certyfikacji jako zaufany można szybko wykonać za pomocą obiektu GPO
- @HagenvonEitzen, wyzwania pojawiają się, gdy masz urządzenia inne niż Windows, które muszą ufać głównemu urzędowi certyfikacji. Mobilne urządzenia testowe, programy z własnym magazynem certyfikatów (Firefox, java, zwłaszcza na serwerach Linux itp.), Komputery Mac. W mojej firmie ' odkryłem, że wiele osób nie ' nie rozumie, że mamy wewnętrzny urząd certyfikacji i po prostu staramy się nim zarządzać ręczne akceptowanie " nieprawidłowej wiadomości cert ".
*.local
,*.mycompany
lub podobne, to i tak nie ma sposobu, aby uruchomić wewnętrzny urząd certyfikacji, ponieważ publiczny urząd certyfikacji nie będzie już wystawiać certyfikaty dla domen niepublicznych.