Nome dell'autorità di certificazione

4

Sto leggendo il seguente articolo del TechNet di Microsoft: Denominazione dell'autorità di certificazione

Qualcuno può aiutare a chiarire quanto segue:

In Active Directory Domain Services (AD DS), the name that you specify when you configure a server as a CA becomes the common name of the CA, and this name is reflected in every certificate that the CA issues. For this reason, it is important that you do not use the fully qualified domain name for the common name of the CA. This way, malicious users who obtain a copy of a certificate cannot identify and use the fully qualified domain name of the CA to create a potential security vulnerability.

Perché il nome dell'autorità di certificazione (CA) non deve mai essere uguale al nome del computer del server (NetBIOS o DNS / hostname) e quali sono i rischi ?

    
posta DaveIce 07.08.2016 - 11:15
fonte

1 risposta

4

Lo schema di denominazione dei nomi comuni predefinito in ADCS è <DomainName>-<CAHostName>-CA . Per scenari molto piccoli e puramente interni funzionerebbe, tuttavia questo schema espone almeno due proprietà: nome dominio e nome host interno di Active Directory. Inoltre, se CA si trova su un controller di dominio, potrebbe rivelare il nome del controller di dominio. Ad esempio, Contoso-DC1-CA indica che il nome di dominio interno è Contoso , il nome host CA è DC1 . Quindi possiamo indovinare che questo server funge anche da controller di dominio. In alcuni termini, questo sarebbe un ottimo inizio per un utente malintenzionato nell'apprendimento della struttura interna.

Inoltre, il suffisso Nome distinto predefinito contiene il percorso X.500 completo verso un dominio in cui risiede CA. Ad esempio, DC=HQ, DC=Int, DC=Contoso, DC=com . Qui possiamo identificare che l'azienda Contoso ha almeno tre domini AD nell'albero LDAP: il dominio principale è Contoso (molto probabilmente, nome dell'organizzazione), il dominio figlio è Int (presumibilmente, Interno) e il subchild è HQ (presumibilmente, quartier generale)

Tuttavia, i rischi per la sicurezza non sono così pericolosi, perché in molti casi è più facile recuperare queste (e molte altre) informazioni in altri modi. Ad esempio, indagando su certificati client, utilizzare strumenti di social engineering e così via. Le raccomandazioni di denominazione giocano un ruolo enorme nella flessibilità. Quando CA è attaccata a un particolare dominio e nome host, sarebbe molto difficile spostare CA da un'altra parte (a causa di riorganizzazioni) e le informazioni sul nome della CA sarebbero fuorvianti per gli utenti aziendali. Alla fine, dovrai rimuovere le autorizzazioni dal server CA e spostare i client in una nuova CA in una nuova posizione.

Di conseguenza, si consiglia di creare le CA in quanto non sono legate a un dominio specifico. Tuttavia, le informazioni sull'organizzazione devono essere incluse.

Supponiamo che tu stia implementando ADC a due livelli in Contoso Pharmaceuticals e pianifichi di distribuirlo nei domini hq.int.contoso.com e west.int.contoso.com , quindi potresti utilizzare i seguenti nomi per la CA radice offline e le CA di emissione online:

Root CA common name:
    CN=Contoso Pharmaceuticals Root CA
    OU=Security Division
    O=Constoso Pharmaceuticals Ltd.
    L=Philadelphia
    S=PA
    C=US
Issuing CA (headquarters) common name:
    CN=Contoso Pharmaceuticals Class 3 Client CA
    OU=Security Division
    O=Constoso Pharmaceuticals Ltd.
    L=Philadelphia
    S=PA
    C=US
Issuing CA (west branch) common name:
    CN=Contoso Pharmaceuticals West Coast Class 2 Client CA
    OU=Security Division
    O=Constoso Pharmaceuticals Ltd.
    L=San Francisco
    S=CA
    C=US

Questo schema non rivela nomi interni e non è legato a nessun dominio di Active Directory, pertanto, sarà facile eseguire la migrazione del server CA tra domini, alberi e persino foreste durante le riorganizzazioni. D'altra parte, forniscono informazioni sufficienti per identificare l'organizzazione che possiede queste CA e possono fornire agli utenti alcuni indizi sulla posizione della CA per selezionare la CA più vicina. Gli indirizzi di posizione non sono necessari (perché possono essere recuperati da fonti pubbliche), ma potrebbero essere richiesti dalle leggi. Come minimo, gli attributi di Organizational Unit , Organization e Country RDN devono essere specificati nel suffisso DN.

La denominazione di ADCS è importante, ma molti amministratori dimenticano un'altra cosa in cui la denominazione è importante: Authority Information Access e CRL Distribution Points estensioni di certificato. Lo schema di denominazione predefinito rivela molte più informazioni (a un potenziale aggressore) rispetto al nome CA predefinito. Ed è difficile migrare CA da qualche altra parte con le posizioni CDP e AIA predefinite. Qualche tempo fa ho scritto una guida che utilizza le migliori pratiche sugli schemi di denominazione degli URL CDP / AIA. Questo potrebbe essere utile anche per te: Progettazione Punti di distribuzione CRL e percorsi di accesso alle informazioni dell'autorità

    
risposta data 07.08.2016 - 12:04
fonte

Leggi altre domande sui tag