Come devo archiviare e proteggere i certificati autofirmati?

Question

Come devo archiviare e proteggere i certificati autofirmati?

#1 da (8 voti)

11

Sono abbastanza sicuro di non dover convertire i certificati nel controllo del codice sorgente. Anche se il repository è privato e solo i colleghi autenticati (ad esempio) hanno accesso ad esso. Ciò consentirebbe l'esposizione accidentale (unità del pollice, credenziali trapelate, qualunque cosa).

Ma, come dovrei archiviare e proteggere i certificati? Non suppongo che dovrei semplicemente ploparli sul file server di rete, per alcuni degli stessi motivi per cui non li inserirò nell'origine controllo, giusto?

Esiste un tipo di archivio certificati sicuro che posso eseguire? Il "keystore" di Java lo fa in generale o è specifico per i server weblogic o qualcosa del genere?

certificates

posta Anthony Mastrean 18.08.2014 - 22:09

fonte

1 risposta

Leggi altre domande sui tag certificates

Quando uso la modalità tunnel IPsec o la modalità di trasporto? La perdita di odierna Shadowbrokers influisce sull'utente medio di Windows?

score 8 · Answer 1

Questa risposta si applica ai certificati digitali di tipo SSL o PGP, che associano un'identità a una chiave pubblica. Mi è stato fatto notare che la domanda come originariamente richiesta non specificava il tipo di certificato, quindi la mia risposta potrebbe non essere adatta alla domanda.

I certificati digitali che associano un'identità a una chiave pubblica non necessitano di sicurezza speciale perché contengono solo la chiave pubblica. Non c'è motivo per non memorizzare una copia nel tuo sistema di controllo del codice sorgente.

La chiave privata corrispondente deve essere tenuta al sicuro, ma dovrà essere installata nei server o nei client di posta elettronica identificati nel certificato. Pertanto, la chiave privata è necessariamente esposta a chiunque abbia accesso amministrativo a tali macchine. Anche a chiunque abbia accesso ai nastri di backup, ecc.

Hai assolutamente bisogno di un backup della chiave privata; se viene perso, come nel caso di un errore del disco, è necessario sostituire il certificato con la chiave pubblica corrispondente. Tengo il mio su un volume criptato per il quale pochissime persone hanno la chiave. (Più di una persona ha bisogno di sapere che la chiave di decifrazione: la gente incappa davvero in incidenti, lascia il lavoro, ecc.)