Rilascio di certificati a due reparti dalla stessa CA di ROOT in modo che uno non si fidi dell'altro

6

Scenario:

  1. Abbiamo due reparti all'interno dell'IT; Dì Department-OLD e Department-NEW .
  2. Esiste un singolo ambiente PKI interno e una CA radice (singolare) è considerata affidabile da Tutto endpoints .

Problema:

Department-New , nella stessa rete, sta facendo un sacco di nuovi sviluppi. Devono emettere certificati per tutti i loro sistemi e applicazioni, ma non vogliamo il resto dell'organizzazione ( Department-OLD e endpoints ) per considerare attendibili i certificati utilizzati da Department-NEW .

Come può essere realizzato?

    
posta Xorprime 09.07.2015 - 08:15
fonte

2 risposte

2

Potrebbe essere meno problematico impostare una nuova CA radice per Department-New per dev work. Sulle loro macchine installa entrambi i certificati radice ( rootCA-general e rootCA-dev ) nel trust store, sui computer di tutti gli altri installa solo rootCA-general .

    
risposta data 09.07.2015 - 14:51
fonte
0

Per cosa stai usando i certificati? Puoi vincolare i certificati a un intermediario usando

  • Criteri EKU (HTTPS vs Email vs SmartCard)
  • Vincoli di nome

La combinazione di cui sopra potrebbe portare a termine quello che stai cercando

    
risposta data 09.07.2015 - 14:44
fonte