Confronto e differenza tra CA.

3

Mentre facevo alcune ricerche su Google, ho appreso che ci sono molte diverse Autorità di certificazione come il ruolo di Windows chiamato "Servizi certificati Active Directory", la libreria OpenSSL o il software EJBCA.

Mi piacerebbe conoscere le differenze tra loro sapendo che tutti emettono certificati e agiscono come autorità di certificazione se non sbaglio?

Funzionano diversamente? Sono tutti compatibili con X.509, ad esempio?

    
posta Cédric Martinez 10.06.2016 - 08:34
fonte

1 risposta

7

Prima di tutto, facciamo attenzione al linguaggio, quando parli di una CA pubblica come Entrust, o Verisign o Digicert, sì, c'è del software in gioco per la creazione e la gestione dei certificati, ma stai davvero parlando del persone . Queste aziende sono affidabili CA non a causa del software che usano, ma perché i loro amministratori di rete prendono seriamente la sicurezza, perché i loro specialisti di verifica sono meticolosi nel controllare i record prima di emettere un certificato in una nuova organizzazione (almeno per Certificati EV). Quindi almeno l'80% di ciò che significa essere una CA riguarda gli esseri umani.

Bene, ora che è fuori mano, parliamo del software.

Stai parlando di strumenti software per gestire Public Key Infrastructure . Per essere una CA, hai solo bisogno di 3 cose nel software:

  1. Una coppia chiave pubblica / privata.

  2. Un certificato autofirmato per quella coppia di chiavi.

  3. Uno strumento software in grado di firmare richieste di firma del certificato ( .csr s) con quella coppia di chiavi.

L'altro 80% è una politica sulla modalità di gestione dei dati e su quanto controllo dello sfondo fai prima di firmare effettivamente un .csr . La differenza tra i diversi software PKI è il numero di campane e fischietti che ottieni.

OpenSSL è solo uno strumento da riga di comando per eseguire operazioni crittografiche. In generale, si tratta di uno strumento da riga di comando a mani nude: si inserisce un file, si restituisce un file. Tutto quello che fai con questi file dipende da te.

openssl ca -cert ca.crt -keyfile ca.key -in infile.csr -out outfile.crt

Supporterà pienamente lo standard X.509, oltre ad alcuni servizi di base per l'emissione di CRL, rispondendo a OCSP, ecc., ma la configurazione e la gestione saranno piuttosto semplici.

Qualcosa come EJBCA , Servizi certificati Active Directory o Entrust Authority Security Manager (plug spudorato!) sono una vera e propria gestione PKI sistemi che funzionano come server web attivi, rispondono alle richieste, gestiscono il proprio database e memorizzano le chiavi private della CA in un modulo di sicurezza hardware dispositivo. In particolare, sono dotati di interfacce di gestione basate sul Web (vedi schermate di seguito), possono eseguire operazioni di gestione automatica dei certificati tramite il protocollo CMP , pubblicano automaticamente elenchi di revoche di certificati (CRL) ogni paio d'ore su tutti i certificati rilasciati, rispondono a controlli di revoca online (OCSP) - cioè "hey CA, il cert # 23488817 è ancora valido?" -, EJBCA e Entrust Security Manager possono essere utilizzati dai governi per emettere passaporti elettronici , Microsoft Active Active Certificate Services e Entrust Security Manager (Non sono sicuro di EJBCA) hanno un software client che gira sul desktop o sul laptop del client che parlerà con la CA e aggiornerà automaticamente il certificato quando sta per scadere, e molto altro ancora. Vedi l'elenco completo delle caratteristiche di EJBCA

TL; DR: OpenSSL contiene tecnicamente tutto ciò che è necessario per eseguire e gestire una CA, ma è abbastanza semplice, richiedendo di eseguire una discreta quantità manualmente sulla riga di comando. Non riesco a immaginare di gestire un PKI di oltre 5 certs con OpenSSL. I prodotti PKI più elaborati offrono praticità automatizzando il più possibile e fornendo interfacce utente di gestione basate su Web. Sono progettati per sistemi in cui gestisci milioni di utenti: pensa alle CA radice pubbliche che emettono certificati SSL per l'intero Internet o che gestiscono certificati S / MIME di email per un dipartimento governativo di grandi dimensioni o che gestiscono i certificati in un passaporti della nazione. Direi che il 70% - 80% delle CA nel mondo con oltre 1 milione di utenti utilizza uno dei tre software PKI che ho menzionato qui: Microsoft ADCS, EJBCA o Entrust SM.

    
risposta data 12.06.2016 - 15:22
fonte

Leggi altre domande sui tag