distribuzione di certificati SSL?

4

Conosco solo i certificati SSL in un caso di utilizzo semplice: li ho installati su siti Web, server Windows e alcuni server Linux.

Ora mi trovo ad affrontare il compito di proteggere ogni dispositivo possibile nella nostra rete internazionale con certificati SSL. Ho acquistato un certificato jolly * .mydomain.com da Comodo in modo da poter utilizzare lo stesso certificato ovunque, ma devo ancora affrontare l'attività montuosa di installare certificati su molti server Windows, server Apache, server Linux di vari gusti , sistemi operativi proprietari, desktop e persino stampanti.

La cosa più scoraggiante di questa attività è che avrò bisogno di farlo ancora e ancora - ogni volta che scade il certificato SSL. So che posso acquistare un certificato di 5 anni, ma anche ancora, è una seccatura che preferirei non dover ripetere.

È possibile che un sistema (come un server di dominio Windows) funga da server di certificati e quindi carichi ogni altro dispositivo con un certificato che "punta" al server di certificazione per la convalida? La mia idea è che dovrei solo aggiornare il certificato in una posizione centrale, e quindi tutti gli altri dispositivi puntati su quel server sarebbero automaticamente aggiornati. Ho già notato che ci sono concetti come "CA intermedie", "Catene di certificati" e "Autorità locali di CA", ma non sono sicuro che sia possibile sfruttare tali concetti per aiutarmi a distribuire un certificato da un grande name CA down the network ...

    
posta Daniel 05.06.2015 - 17:17
fonte

3 risposte

5

Per eseguire questa attività, in genere non si fa affidamento su un singolo certificato, ma su un'autorità di certificazione interna.

Prima hai configurato la tua CA radice offline e poi hai immediatamente configurato almeno una (solitamente più) autorità di certificazione intermedia con chiavi firmate dalla tua radice privata (se stai usando un'infrastruttura Windows AD, queste ICA possono essere configurazione tramite server dei servizi certificati di Windows e quindi integrato nell'annuncio AD).

Una volta implementato correttamente (che non è un'attività banale), puoi generare e rinnovare i certificati per i tuoi server molto facilmente.

Il punto debole di questa strategia è che in genere funziona solo internamente: i sistemi esterni non riconosceranno la tua radice come valida. Un metodo tipico per risolverlo consiste nell'utilizzare server proxy inversi posizionati al perimetro che offriranno ai client esterni un certificato firmato da una radice pubblica e connesso ai sistemi interni. Poiché questi proxy devono avere la tua radice privata installata, saranno in grado di convalidare le tue connessioni.

Si noti che questa è una descrizione di livello molto elevato della strategia: implementarla in modo sicuro e globale non è facile e deve essere eseguita con estrema attenzione.

    
risposta data 05.06.2015 - 17:37
fonte
0

La domanda suggerisce l'utilizzo di un server di certificati per caricare nuovi certificati su altri server, il che è problematico.

La domanda tuttavia suggerisce la necessità di identificare quando i certificati scadono. Ad esempio, CA DigiCert fornisce uno strumento Controllo certificati che sembra automatizzare alcune di queste attività. Fai riferimento a questo link link .

    
risposta data 09.10.2017 - 05:58
fonte
0

I've purchased a wildcard *.mydomain.com certificate from Comodo

Quindi, se una macchina viene mai compromessa, è necessario revocare il certificato esistente, acquistarne uno nuovo e distribuirlo a tutti gli host?

Non hai fornito molti dettagli sul numero di punti finali e il lavoro richiesto per applicare il certificato. Anche la frequenza dipenderà da fattori esterni, ma se si tratta di più di pochi punti finali, sarebbe meno costoso e meno dispendioso eseguire la propria CA.

Si noti che è possibile ottenere lo stesso risultato se si dispone di un certificato di firma del certificato da "CA di grande nome", ma non si desidera nemmeno chiedere quanto pagherebbero per una cosa del genere.

Is it possible to have one system (like a Windows domain server) act as a certificate server and then just load every other device with a certificate that "points" to the certificate server for validation?

Sì. Credo che Active Directory faccia questo per alcuni servizi MSWindows (RDP, IIS, AD).

Sono disponibili numerosi strumenti di orchestrazione per la distribuzione dei certificati. Ho avuto questo configurato su Linux 18 anni fa che copre una proprietà di Linux, MSWindows, server HPUX, desktop MSWindows e laptop da campo. Quindi ho dovuto sviluppare gran parte dell'integrazione.

    
risposta data 09.10.2017 - 14:19
fonte

Leggi altre domande sui tag