Mi piacerebbe imparare i metodi più avanzati per la progettazione e la gestione di un'infrastruttura di certificati X509 generica. Ci sono alcuni libri qua e là, ma ho pensato di chiedere se qualcuno qui ha dei preferiti.
Libri, risorse web, ecc.
(o non è questo il miglior scambio da chiedere?)
In generale, le domande sulla "lista della spesa" sono disapprovate sui siti Stack Exchange, perché non si adattano bene al formato Q & A; non possono avere una risposta completa e definitiva, e qualsiasi lista si spegne inevitabilmente nel tempo.
Tuttavia, possiamo ancora dire alcune generalità (ad esempio rispondere alla meta domanda, ovvero: "come trovo una buona informazione?"). PKI è crittografia al 5%, procedure al 95%. Le "procedure" sono ciò che gli umani devono fare per configurare la CA e per eseguirla in seguito, la più importante delle quali è la cerimonia della chiave da cui viene eseguito il boot della sicurezza (vedi questa risposta ). Sebbene le procedure siano carta e uomo e controlli e più carta, possono funzionare solo con la limitazione degli strumenti, cioè cosa offre il software e l'hardware PKI. In quanto tale, il posto giusto per iniziare è il manuale per il software PKI di base . Ad esempio, se si desidera utilizzare le tecnologie Microsoft ("Servizi certificati Active Directory"), quindi avviare lì . Se si desidera utilizzare EJBCA, avviare lì . Se vuoi che il tuo PKI sia un paio di script fatti a mano su OpenSSL, allora ... non sei serio.
Da un punto di vista più meta, direi che ci sono due modi per installare ed eseguire correttamente una PKI:
Nel mio caso, trovo che le nozioni dettagliate su ciò che accade sotto la cappa aiutano molto con il debugging. Quindi scrivere il proprio parser ASN.1 e il motore di convalida dei certificati ti garantiranno abbastanza informazioni per avere un'idea di cosa funziona e cosa no in una PKI; odierà anche X.509. Inizia con RFC 5280 , che ti insegnerà il gergo e ti mostrerà cosa possono fare e cosa non possono fare i certificati. Completalo con la guida di stile X.509 ; è del 2000, quindi dovrebbe essere obsoleto, ma non lo è, il che dice molto su X.509.
(*) Se ricordi che authentication non è autorizzazione , e quindi che provare a gestire i diritti di accesso tramite la revoca dei certificati non funziona, allora Ho evitato due anni di lacrime e digrignamento dei denti.
Leggi altre domande sui tag public-key-infrastructure tls