Stiamo valutando la possibilità di impostare un'autorità di certificazione interna per emettere certificati SSL. I certificati sarebbero utilizzati principalmente per proteggere i siti Web interni, ma potrei prevedere che potremmo rilasciare certificati per proteggere la nostra infrastruttura VPN anche in futuro. I nostri sistemi sono principalmente basati su Windows uniti alla directory attiva anche se abbiamo anche sistemi di sistema e alcuni sistemi Mac. Quindi mi sto chiedendo quale sia la strategia migliore?
Sono propenso a configurare una CA radice offline e una CA di emissione aziendale (gerarchia PKI a due livelli). La mia impressione è che posso fare tutto ciò con le macchine virtuali completamente ma che c'è anche la possibilità che la CA principale possa essere eseguita con un hardware HSM? Un HSM presenta una situazione interessante nel senso che può essere completamente offline e archiviato in un luogo sicuro, presumibilmente non ci sono sistemi operativi che si preoccupano di patch, manutenzione, aggiornamento, ecc. Dato che probabilmente rilasciamo il certificato di root per 20 anni questo sembra abbastanza attraente.
Qualcuno ha mai usato un HSM prima? Qualunque cosa che raccomanderesti sono usb based, economici (non più di poche centinaia di dollari) e semplici da configurare. Qualche sfida che incorpori l'HSM con una CA emittente Microsoft? Cos'altro dovremmo prendere in considerazione? Qualcuno può consigliarti qualche buon how-to? Sto cercando su Google risultati misti.
Grazie, Brad