posizioni AIA / CRL per root offline

Naviga le tue risposte
6

Ho letto la risposta alla seguente " Lista di controllo sulla costruzione di una Root offline e Autorità di certificazione intermedia (CA) "e ho una domanda basata sul sistema che sto provando a costruire È un sistema Windows 2008 con 3 domini / foresta (ovvero un dominio per foresta) Desidero utilizzare i certificati all'interno di questo e credo che dovrei essere in grado di farlo con una singola stanza offline autofirmata.

  • ROOT - è la CA = root offline autofirmato
  • DOM1IntRoot è la CA per il dominio di directory attivo DOM1.A.COM
  • DOM2IntRoot è la CA per il dominio di directory attivo DOM2.A.COM
  • DOM23IntRoot è la CA per il dominio di directory attivo DOM3.DOM2.A.COM

Non ci sono trusts, né sottodomini Quindi quello che mi piacerebbe fare è firmare DOM1IntRoot, DOM2IntRoot e DOM3IntRoot con ROOT in modo tale che ho bisogno di una sola radice offline
Ciò significa che ho bisogno di installare il certificato CA ROOT in ogni dominio, cosa che penso dal Microsoft" Scenario di esempio per Contoso " significa che ho bisogno di impostare la posizione AIA LDAP su una partizione di configurazione che esiste in tutti i domini (in questo caso DC = a, DC = com) e la posizione HTTP in qualche singolo server . Tuttavia, dice anche che possono avere posizioni CRL / AIA separate che sembrano contraddittorie

Quindi ho letto la risposta di cui sopra e ho detto di lasciare il campo AIA / CRL vuoto. Il che sembra implicare che DOM1IntRoot, DOM2IntRoot, DOM3IntRoot pubblicherà il CRL / AIA per il ROOT

Quindi ho due possibili risposte o ROOTCA ha CRL / AIA o non lo fa. Se ROOTCA ha AIA / CRL, allora cosa dovrei specificare per gli URL LDAP / HTTP e FILE per AIA e le posizioni CRL es. è corretto? 

ldap:///CN=ROOTCA<CRLNameSuffix>,CN=ROOTCA,CN=CDP,CN=Public Key Services,CN=Services,DC=A,DC=COM
http://<SOMESERVER>/CertEnroll/ROOTCA<CRLNameSuffix><DeltaCRLAllowed>.crl
file://\<SOMESERVER>\CertEnroll\ROOTCA<CRLNameSuffix><DeltaCRLAllowed>.crl

Dove <SOMESERVER> è un server con IIS che renderà i certificati disponibili

Tieni presente che NON sto utilizzando il nome del server root offline come mai visto, è corretto?

Se ROOTCA non ha AIA / CRL, come faccio a pubblicare una revoca di (diciamo) DOM1IntRoot?

Sono un po 'confuso quindi questa domanda potrebbe partire partendo da ipotesi completamente sbagliate

Aggiungerò un po 'di informazioni sulla struttura del dominio per cercare di risolvere alcune domande  - DOM1.A.COM è dove i clienti impostano  - DOM2.A.COM è una rete di tipo DMZ che protegge DOM3  - Si accede a DOM3.DOM2.A.COM solo agli utenti di DOM1 che si collegano da remoto a DOM2 e quindi a un'altra sessione remota in DOM3  - Desideriamo utilizzare i certificati per le visualizzazioni tra DOM1 e DOM2 e DOM2 e DOM3  - Useremo anche i certificati da DOM2 ai dispositivi di rete (probabilmente dovrebbe essere DOM3 ma questo è ancora in discussione)  - DOM2 e DOM3 sono isoated da internet. DOM3 è isloated da tutto tranne DOM2

    
posta Ross 16.11.2012 - 07:00
fonte

1 risposta

5

Se la CA principale non è in linea, la CA radice è offline : non ha rete. Ciò implica che ogni volta che viene pubblicato un CRL, è necessario un intervento manuale per inserirlo in un host connesso. A quel punto, puoi metterlo manualmente in tre posti, se necessario.

Le estensioni "Authority Information Access" (AIA) e "CRLDP" (CRLDP) sono informazioni scritte nei certificati emessi dalla CA. In tal caso, queste estensioni si trovano nei certificati della CA emessi per la CA subordinata (le tre CA per sottodominio). Non è necessario che ogni CA secondaria riceva esattamente lo stesso AIA e CRLDP dalla radice; potresti organizzare perfettamente la radice per emettere il certificato per CA1 con un AIA e CRLDP che puntano a posizioni ( ldap:// URL) nella foresta per DOM1.A.COM , dove dovrai spingere manualmente una copia del certificato CA radice e il CRL prodotto dalla radice CA. Idem per CA2, ma questa volta con posizioni in DOM2.A.COM e così via.

Tuttavia, è probabilmente più semplice usare HTTP. Mettere un server Web da qualche parte accessibile da tutti i domini e fare in modo che la CA radice scriva nei certificati che rilascia alcuni AIA e CRLDP con http:// URL. Plain HTTP va bene per certificati e CRL, che sono oggetti firmati, e quindi possono essere distribuiti senza alcun riguardo per qualsiasi tipo di sicurezza (non c'è bisogno di HTTPS o whatsnot per la pubblicazione di certificati e CRL).

Inoltre, l'AIA non è molto utile per una CA radice perché è una radice: la convalida funzionerà solo se chi convalida si fida della radice a priori , quindi deve già saperlo. AIA serve per localizzare i certificati che non conosci a priori e, quindi, i certificati che non ti fidano a priori : molto utile per CA intermedio, abbastanza inutile per la CA principale. In un contesto di Active Directory, è possibile trasferire la CA radice come "affidabile" attraverso, ad esempio, alcuni oggetti Criteri di gruppo.

Per automatizzare la pubblicazione CRL, è possibile utilizzare una CA principale per lo più offline . Questa è una CA radice che è offline, tranne che ha un canale intrinsecamente unidirezionale per produrre CRL prodotto regolarmente. L'ho fatto una volta su un cavo audio (CRL codificato come suono, decodificato sull'altro lato): il vantaggio è che il jack "out" dall'interfaccia audio di un server è fisicamente distinto dal jack "in" (il " out "è verde," in "è rosa), quindi può essere visivamente accertato che la root è ancora offline. Altre persone hanno utilizzato i cavi RJ45 con un solo paio di cavi collegati, che ha una larghezza di banda migliore ma è meno facilmente ispezionabile visivamente.

In ogni caso, non cambia la radice della cosa, che è quella che renderà la tua vita più semplice.

    
risposta data 16.11.2012 - 13:24
fonte

Leggi altre domande sui tag

Posso riutilizzare il token a doppio fattore di un altro fornitore nel mio sistema? (Evita il rigonfiamento del token fisico) Come viene richiesta la password per proteggermi dal rovinare il mio computer?