Dove trovare o acquistare certificati non SSL

1

Spero che questo sia il giusto stackexchange - in caso contrario, ti preghiamo di avvisare.

Per quanto riguarda la domanda reale: avere un sistema che abbiamo sviluppato che fa un uso pesante della crittografia asimmetrica in vari modi (RSA, autenticazione del certificato client e firme digitali) e nella nostra configurazione consigliata utilizza 8 certificati - 4 SSL certificati, 1 certificato di firma (per SAML), due certificati di autenticazione client e un certificato RSA (per proteggere le chiavi simmetriche). Nel nostro ambiente di sviluppo e test, abbiamo utilizzato certificati autofirmati generati con l'utilità makecert.exe, ma non è affatto adatto alla produzione.

Quello che vorremmo sapere è: puoi acquistare e / o acquistare quei tipi di certificati da un'autorità di certificazione? Qualche vecchio certificato farà? Finora, abbiamo trovato certificati SSL solo per la vendita e parlare con il supporto di vari fornitori è stato ... meno che utile.

Stiamo anche valutando la possibilità di configurare una CA in loco (con il servizio di certificati Active Directory) per ridurre il numero di certificati che devono essere acquistati, il che porta nella stessa vena: puoi acquistare / ottenere un certificato adatto da utilizzare come root per una CA locale da una CA upstream? È fondamentalmente un certificato SSL?

    
posta William Scalf 09.04.2014 - 21:32
fonte

2 risposte

2

Un certificato è fondamentalmente un legame tra un'identità e una chiave pubblica, ma ci sono dettagli:

  • La nozione di "identità" che è più adeguata per la tua situazione non è necessariamente uguale alla nozione di identità per un certificato server SSL (cioè un nome DNS del server ...).
  • Il ciclo di vita della chiave privata conta: chi lo genera, dove è archiviato, se ci sono backup ...
  • Il contenuto del certificato può attivare o disattivare alcuni usi e potresti volere un certo controllo su questo.

Se vuoi produrre il tuo certificato, allora vuoi operare con la tua Autorità di certificazione. C'è un buon software opensource per questo (ad es. EJBCA ). Tuttavia, questa linea d'azione comporta due aree di costo principali:

  1. Devi operare la CA. PKI è tecnologia al 5%, procedure del 95%; avere il software va bene, ma eseguirlo, gestire l'accesso fisico, i rinnovi, l'audit ... sarà quello che costa di più, di gran lunga.

  2. I certificati della CA verranno accettati dalle macchine solo se la chiave pubblica della CA è installata in queste macchine come CA principale o se la CA è stata emessa da un'altra CA installata nelle macchine come root.

L'utilizzo dei certificati da una "CA commerciale" risolve il secondo punto, ma a un costo elevato. In particolare, se si desidera avere la propria CA, deve essere contrassegnata come "certificato CA" (scritto in Limitazioni di base estensione certificato). Una CA commerciale può accettare di emettere un certificato CA, firmato da loro, ma sarà costoso (si pensi a migliaia di dollari, almeno); e richiederanno che tu gestisca la tua CA in base a regole rigorose (compresa l'assicurazione, la pubblicazione di una dichiarazione di pratica di certificazione dettagliata e legalmente vincolante e così via).

Se vuoi solo produrre certificati per i tuoi stessi usi, su sistemi che controlli, allora ha relativamente poco senso affidarsi a una CA commerciale: è molto più semplice avere semplicemente la tua radice e installarla in macchine rilevanti.

È anche possibile che il tuo problema non richieda veri "certificati". I certificati sono una soluzione a un problema di distribuzione delle chiavi : il punto dei certificati è che un dato sistema può acquisire conoscenza in una chiave pubblica e la fiducia nell'identità del proprietario della chiave, in modo dinamico, in virtù del vedere e convalida di un certificato. Se, nel tuo sistema, ci sono 8 tasti in totale e hai il controllo su tutti i client e server, è probabile che non hai davvero bisogno di certificati ; vuoi solo coppie di chiavi asimmetriche. Le chiavi pubbliche sono pubblicate a priori (trasferite tramite configurazione o codificate nel software pertinente).

Per una compatibilità facile ed economica con i protocolli esistenti (ad esempio SSL), può essere conveniente codificare le chiavi pubbliche come qualcosa che assomiglia a "certificati"; tradizionalmente, questi certificati saranno "autofirmati" perché esiste un campo non facoltativo per una firma nel formato del certificato.

Non c'è nulla di intrinsecamente sbagliato con i certificati autofirmati se si associano al tuo problema. Non è necessario richiamare un PKI se la tua situazione non ha un problema di distribuzione delle chiavi.

    
risposta data 10.04.2014 - 15:40
fonte
0

Per mantenerlo breve e semplice.

C'è bisogno di fiducia esterna? Se ciò che desideri proteggere è solo per uso interno, non è necessaria una CA esterna come GoDaddy o Symantec.

Con un servizio di distribuzione è possibile eseguire il provisioning dei nodi interessati con il certificato CA utilizzato per creare fiducia nella "rete"

    
risposta data 10.04.2014 - 15:46
fonte

Leggi altre domande sui tag