Due CA di emissione in una PKI a due livelli (Windows Server 2012)

1

Sto pianificando di installare PKI a due livelli nel mio ambiente. Abbiamo due siti remoti collegati tramite una VPN. Penso che sia OK impostare la CA principale e la CA di emissione sul primo sito.

Ad esempio, ho un server Web interno sul 2 ° sito.

  1. Ho ragione che, se la VPN fallisce, i client del secondo sito possono ancora stabilire una connessione HTTPS con il server web su questo sito?

  2. È una buona idea impostare la seconda CA di emissione sul 2 ° sito? Inoltre, lo sono confuso come trattare con CDP in questo caso, perché attualmente sto pensando di creare un punto di distribuzione via web-server sulla 1a CA di emissione?

Ho utilizzato questa guida a scopo informativo.

    
posta Vasiliy Plotnikov 23.02.2016 - 12:23
fonte

1 risposta

1

Le tue CA sono utilizzate solo per emettere i certificati e gli elenchi di revoca - una volta emesse, le CA sono ridondanti fino al momento in cui desideri emettere più certificati o emettere / rinnovare un CRL.

Le informazioni di revoca, d'altra parte, devono essere disponibili 24/7. Alcuni (tutti?) Client memorizzano nella cache le informazioni di revoca, che possono darti un po 'di margine di manovra, ma anche così, dovresti considerare il tempo di attivazione del tuo CDP per essere molto più significativo del tempo di attivazione della tua CA.

Se sei preoccupato per l'affidabilità della tua VPN, allora considera di eseguire un CDP alle due estremità. Alcuni magic DNS (split DNS?) Possono consentire all'utente di indirizzare l'URL del proprio CDP al sito locale del client, indipendentemente dal fatto che si tratti del sito 1 o 2.

Pertanto, per rispondere alla tua domanda:

  1. I client sul sito remoto possono accedere a un sito Web HTTPS su tale sito remoto solo se le informazioni di revoca sono disponibili per il client; presumendo che il cliente controlli la revoca, ovviamente.
  2. Mentre è possibile posizionare una seconda CA sul sito remoto, la gestione dei certificati diventa un po 'più difficile. Un piano migliore sarebbe avere una singola CA di emissione e più CDP. Ovviamente, se la tua VPN è in calo più di quanto non lo sia, allora potrebbe essere meglio considerarli come due siti isolati ed eseguire una CA e una CDP a ciascuno.
risposta data 23.02.2016 - 13:39
fonte

Leggi altre domande sui tag