În comentariile la Crearea propriului CA pentru un intranet mai multe persoane recomandă cu tărie crearea propriului CA pentru un intranet.
Mai ales:
nu o faceți. Nu. Ideea proastă. Cumpărați 10 USD CA certificate semnate în schimb. Nu fiți propria CA. Nu, nu. Idee proastă – KristoferA
Dar și:
ecou „Abandonați orice speranță, voi care intrați aici”. – Tom Leek
De ce ar trebui să punem mai multă încredere într-o CA arbitrară care vinde certificate pentru 10 USD decât în propriul departament IT al companiei?
(Sunt chiar înclinat să am încredere în certificatele semnate de furnizori sau clienți 1, 2 mai mult decât mine ar avea încredere în certificatele semnate de CA „s. rădăcină comună)
- Este problema menținerii în siguranță a serverului CA?
- Distribuirea și instalarea certificatelor rădăcină sunt problemă?
- Problema este RA și / sau distribuirea CRL-urilor actualizate?
- Restricționarea cine sau ce primește un certificat și cine sau ce semnează un certificat este o problemă?
- Alte probleme? (Poate că cunoștințele mele limitate și cunoștințele limitate ale altor profesioniști IT în general, despre toate aspectele esențiale pentru o CA sigură. De ce KristoferA , Tom Leek și alții sfătuiesc cu tărie împotriva „CA-urilor homebrew”.
Probabil că un CA profesionist va avea mai multă expertiză în primele trei domenii și ar putea să facă mai bine decât orice „smug” care își creează propria CA. Dar totuși factorul de încredere îmi vine în minte, în special pentru ultima parte.
1.) Având în vedere că compania mea are o relație pe termen lung cu acești furnizori și clienți.
2.) Limitat la certificate despre propriile servere și angajați.
Comentarii
Răspuns
Nu este nimic deloc în neregulă cu rularea propriului dispozitiv intern autoritate certificată; marea majoritate a companiilor mari cu care am interacționat au propria CA internă.
Avantaje
- Costul nominal al unui certificat devine aproape zero atunci când este amortizat pe suficiente sisteme și utilizatori; când achiziționați certificate de la o CA externă, acest lucru nu va deveni niciodată cazul.
- Poate fi mult mai ușor să gestionați expirarea și reînnoirea certificatelor, deoarece puteți atribui calitatea de proprietar unui grup intern, în locul unui singur utilizator care a solicitat-o.
- Puteți face tot felul de lucruri îngrijite care sunt foarte dificile sau costisitoare de făcut cu CA-uri externe, cum ar fi crearea de certificate wildcard pentru subdomenii, cum ar fi * .test.company.com sau crearea de certificate nevalide ciudate în scopuri de testare (SHA-1 2017, RSA de 512 biți etc.)
Dezavantaje
- Rularea unui CA este foarte dificilă. Pentru propria dvs. CA internă, evident că nu trebuie să aveți un nivel destul de mare de controale de securitate ale unei CA reale, dar este încă destul de complex.
- Oamenii care sunt capabili să creeze și să ruleze o CA nu sunt cu siguranță ieftine; cel puțin în SUA, vă puteți aștepta ca oamenii cu cunoștințe puternice despre criptografie și / sau PKI să facă șase cifre.
- Nu este suficient doar pentru a avea o CA, trebuie să construiți și sisteme Site-uri web / API-uri pentru solicitarea certificatelor și gestionarea revocărilor, sisteme de notificare pentru reînnoirea certificatelor, pachete de instalare pentru eliminarea certificatelor rădăcină etc. Ați putea cumpăra un pachet software care gestionează multe din acestea, dar cu siguranță nu fie gratuit.
Pentru companiile suficient de mari, devine un punct de bascul în care costul achiziționării tuturor acestor certificate externe și pierderea flexibilității implicate în acestea devine o problemă suficient de semnificativă pentru a crea propria CA .
În caz contrar, sunt de acord cu cei care v-au avertizat împotriva acestuia: pentru marea majoritate a companiilor mici și mijlocii, pur și simplu nu este economic să-și conducă propria AC; este mult mai logic să pur și simplu aveți de-a face cu o companie specializată în această chestiune.Chiar și o mie de cer ts la 10 USD pe an este un furt în comparație cu costul înființării unei CA interne bine gestionate.
Rezumat
Nu este vorba de încredere, ci de costuri.
Comentarii
- Cu 50.000 certificate la 10 USD / an, durează doar 366 de zile pentru a fi o sumă de șapte cifre.Investiția în înființarea unei CA interne poate costa foarte puțin și puteți chiar vinde această expertiză pe deasupra.
- @AndrewLeach, pentru o companie mică până la mijlocie, un certificat pentru fiecare angajat + fiecare (virtual ) server + fiecare aplicație probabil nu va adăuga până la 50.000.
- În plus față de ceea ce a spus @KaspervandenBerg despre cantitatea de certificate, un CA intern care generează 50.000 de certificate pe an probabil va necesita mai mulți angajați să mențină și să se dezvolte. Din această cauză, am ' considerat că este rar să găsești CA în afara companiilor cu capacitate medie (sau mai mari) sau a companiilor tehnologice care ar putea avea deja această expertiză internă.
- re al treilea diadvantaj pentru rețeaua Windows a lui Joe Average ': Instalarea rolului CA pe un server vă oferă site-ul web și punctele de reovare în ldap imediat și adăugarea CA rădăcină, ca de încredere, se poate face rapid pe GPO
- @HagenvonEitzen, provocările încep să se monteze atunci când aveți dispozitive non-Windows care trebuie să aibă încredere în CA Root. Dispozitive de testare mobile, programe cu propriul magazin cert (Firefox, java, în special pe servere Linux etc.), Mac-uri. Ceea ce ' am găsit în compania mea este că mulți oameni nu ' nu înțeleg că avem o CA internă și încercăm doar să gestionăm acceptarea manuală a " invalid invalid " mesaj.
*.local
,*.mycompany
sau similar, oricum nu există nicio modalitate de a rula o CA internă, deoarece CA publică nu va mai fi emite certificate pentru domenii non-publice.