Comunicazione server-server bidirezionale crittografata tramite TLS

5

Ho 2 server Windows e vorrei impostare una comunicazione criptata tra di loro usando TLS. Ho letto i certificati TLS e X.509 e penso di avere un piano ragionevole, ma vorrei un feedback per correggere eventuali errori nella mia comprensione di come funziona questa roba. Il mio piano è generare un certificato CA autofirmato utilizzando makecert con l'opzione -cy authority , quindi utilizzare makecert per creare certificati 2 server ( -eku 1.3.6.1.5.5.7.3.1 ) e 2 certificati client ( -eku 1.3.6.1.5.5.7.3.2 ) usando -iv , -ic e -sky exchange opzioni per firmare le licenze client e server utilizzando il certificato CA radice, utilizzare pvk2pfx per creare un file .pfx per ciascuna delle licenze client e server. Quindi, installerei il file .cer per la CA radice su entrambi i server e lo inserirò nella cartella Trusted Root Certification Authorities di Certificates nell'archivio Local Machine . Quindi installerei i file .pfx per 1 server e 1 certificato client su uno dei server in Personal certificati per l'archivio Current User dell'account utilizzato dall'applicazione e fare altrettanto con i restanti certificati server e client su l'altro server. In seguito, proteggerei nella memoria offline o distruggere i file .pvk .

Mi aspetto che una volta fatto ciò, indipendentemente da quale host avvii la comunicazione, l'host che agisce nel ruolo del server sarà in grado di autenticare il client e il client sa che sta comunicando con il server reale (non un in-the-middle).

Si tratta di un piano corretto, logico e sicuro per la configurazione della crittografia tra i due server? In caso contrario, cosa mi manca?

    
posta Matt 05.01.2016 - 00:36
fonte

1 risposta

1

È possibile semplicemente creare un certificato univoco firmato da una specifica CA e obbligare entrambe le macchine ad accettare solo certificati da tale CA. Sarebbe l'equivalente Apache di

SSLCACertificateFile /your/CA/folder/ca.crt
SSLVerifyClient require
SSLVerifyDepth 1

Questo approccio è scalabile, in quanto è possibile includere una terza macchina in futuro nel proprio "anello di sicurezza" per contattare qualsiasi macchina esistente. Solo quelli con un certificato firmato dalla tua CA saranno accettati nel tuo anello.

    
risposta data 25.02.2016 - 19:02
fonte

Leggi altre domande sui tag