I clienti si fidano della mia CA personalizzata

5

Mi dispiace se questa è una domanda stupida. Sono nuovo di tutto questo.

Ho un gran numero di utenti. Devo essere in grado di generare certificati SSL per vari nomi di dominio interni. Tutti questi certificati devono essere accettati dai browser. Sono a conoscenza del fatto che ho bisogno di generare un'autorità di certificazione come in questo articolo: link

Quindi con quell'autorità di certificazione posso firmare una richiesta di firma per ogni dominio che dobbiamo supportare. Questo mi darà un certificato X509 che posso usare con i nostri server web.

Quindi, le mie domande sono:

  1. QUALI file generati devo inserire (installare, importare, accettare, ecc.) DOVE per far sì che i miei browser possano fidarsi di tutti i certificati generati dalla mia CA? Sono sicuro che WHERE dipende dal browser e dal sistema operativo, giusto?
  2. Ho bisogno di rendere il più semplice possibile per i miei utenti accettare la mia CA. Purtroppo non ho la possibilità di spingere automaticamente nulla. La cosa migliore che posso fare è fornire un link. Quindi, mi stavo chiedendo se sarebbe stato possibile creare una pagina html che viene caricata su http (non sicuro) che ha un iframe che viene caricato da uno dei server sicuri. In teoria, la pagina iframe darà un qualche tipo di messaggio e consentirà l'installazione. La mia pagina esterna potrebbe dare istruzioni su ciò che l'utente deve fare. Funzionerebbe o mi mancherà qualcosa? Se accettano il certificato, funzionerà per tutti i certificati generati dalla mia CA o solo da questa?
posta user548971 09.06.2012 - 08:06
fonte

4 risposte

3

Personalmente, vorrei iniziare con un certificato SSL gratuito a basso costo firmato da una CA conosciuta e fidata per un dominio

Quindi in quel sito https che i loro browser si fidano (e che possono riconoscere come un particolare sottodominio della tua organizzazione), dai loro un link https per scaricare il tuo certificato CA con le istruzioni su come caricare i certificati della CA in tutte le vari browser / sistemi operativi che probabilmente useranno.

Ad esempio, firefox: link o in google-chrome: passa a chrome: / / cromo / impostazioni / certificati

    
risposta data 10.06.2012 - 21:54
fonte
3

Internet Explorer utilizza le funzionalità fornite dal sistema operativo; vale a dire, la "CA radice" di cui IE si fida è la CA radice che Windows si fida e che si trova nell'archivio certificati "Root". Vedi questa pagina per alcuni dettagli.

Firefox ha il proprio meccanismo di archiviazione, indipendentemente da ciò che può fare il sistema operativo host. Vedi per esempio questa pagina per i dettagli.

Safari su MacOS X si basa su ciò che il sistema operativo fornisce e si chiama "KeyChain". Vedi per es. questa pagina .

Chrome tende a utilizzare qualsiasi meccanismo sia fornito dal sistema operativo locale (l'archivio principale su Windows, KeyChain su MacOS X ...). È noto che questo cambia in base alla versione, quindi è difficile mantenere le cose aggiornate.

Questa pagina Web tenta di tenere traccia su come installare i certificati radice in varie applicazioni e sistemi operativi, ma sembra un un po 'vecchio e non sembra mantenuto attivamente.

Attenzione: le CA root sono gli trust anchors : tutto ciò che i trust della macchina provengono da queste CA radice. Pertanto, sono un obiettivo molto prezioso; gli aggressori avrebbero semplicemente amare di essere in grado di inserire la propria CA radice nel trust store di molti sistemi utente. Di conseguenza, non è una buona idea allenare gli utenti ad aggiungere root CA al loro negozio. Quelli che hanno avuto successo avranno semplicemente dimostrato di essere vulnerabili ai suggerimenti di installazione di root della CA ...

Dato che dichiari che i tuoi utenti non sono nella tua rete interna, allora devo dedurre che sono su "Internet" in generale e che i tuoi server SSL sono accessibili con nomi "pubblici" (cioè con domini che esistono nel sistema mondiale di nomi di dominio). Pertanto, è possibile utilizzare i certificati dalla CA normale. Alcuni sono gratuiti . Ciò ti farà risparmiare un sacco di sforzi, dal momento che CA già hanno la loro CA radice negli archivi fiduciari di tutti. Come al solito, il sistema che è più facile da installare è il sistema che è già installato.

    
risposta data 04.01.2013 - 21:52
fonte
2

Se stai cercando una soluzione a basso costo e bassa complessità, che ne dici di ottenere un certificato con caratteri jolly da un vero emittente di certificati come godaddy che sarebbe già considerato attendibile da tutti i tuoi browser client. Finché tutti i tuoi nomi host sono sullo stesso dominio, questo dovrebbe funzionare per te. Puoi usarlo come certificato per tutti gli host di cui hai bisogno purché siano nello stesso dominio (ad esempio host1.myorg.com, host2.myorg.com, host3.myorg.com ecc.)

Come @Thomas Pomin ti farei molta attenzione se stai chiedendo ai browser di fidarsi dei certificati firmati dalla tua CA, soprattutto se non fanno parte della tua rete interna. Se non si è molto attenti alla portata di chi può accedere alla CA e creare certificati, questo potrebbe andare molto rapidamente a sud. (Google turktrust se vuoi un'idea di un recente esempio di cosa potrebbe andare storto con l'emissione di certificati attendibili.)

    
risposta data 04.01.2013 - 22:31
fonte
1

Okay, come hai detto è dipendente dal browser o dal SO, alcuni chiedono se l'utente vuole installare un certificato se uno prova a caricarlo nel browser, altri deve essere fatto interamente manualmente. Uno ha solo bisogno del certificato di root.

Un'altra opzione che potresti prendere in considerazione è ottenere un certificato CA firmato da un'altra CA già attendibile, ma potrebbe non rientrare nella fascia di prezzo.

    
risposta data 09.06.2012 - 14:07
fonte

Leggi altre domande sui tag