Protezione dei micro-servizi interni - Letsencrypt vs. certificati autofirmati - Best practice

1

Ti stai chiedendo se in genere utilizzi certificati da una CA verificata per i tuoi microservizi interni oppure utilizzi solo certificati autofirmati. Ti chiedi quale sia la tipica configurazione sicura per questo. L'acquisto di certificati CA verificati sembra troppo, ma non ne sono sicuro. Grazie.

    
posta Lance Pollard 16.12.2017 - 23:18
fonte

1 risposta

3

Le autorità di certificazione pubbliche generalmente non funzionano per i servizi interni in quanto i servizi non sono raggiungibili dall'esterno, quindi non hanno modo di verificare che il certificato sia rilasciato all'entità giusta. Ad esempio, se hai richiesto Let's Encrypt per un certificato server per backend0001.myapp.myinternaldomain , Let's Encrypt deve essere in grado di verificare che il caso di richiesta da quel nome host. Per i servizi interni, questo di solito non è raggiungibile dal mondo esterno.

Autorità di certificazione : Invece, dovresti avere una CA a livello aziendale gestita con la stessa paranoia di una vera CA (devi assolutamente controllare l'accesso alla chiave CA e assicurarti di rilasciare i certificati solo all'entità giusta).

Certificato CA : Il certificato CA dovrà essere disponibile a tutti i tuoi server e client per poter convalidare le catene di certificati.

Certificati server e client : I certificati server e client possono essere rilasciati alle app e al client dopo la verifica dell'hostname o dell'identità del client. La distribuzione delle chiavi del certificato è qualcosa su cui prestare molta attenzione. Potresti usare qualcosa come keywhiz o vault (solo alcuni esempi, ce ne sono molti altri) per distribuire le chiavi dei certificati solo sugli host corretti.

La maggiore complessità consiste nell'assicurarsi che le chiavi siano disponibili solo per le parti giuste. Ottenere la parte giusta è più di una configurazione del processo e meno degli aspetti tecnici. Ma poi di nuovo, lo stesso problema esiste con una CA pubblica (meno il problema della chiave CA).

    
risposta data 16.12.2017 - 23:47
fonte

Leggi altre domande sui tag