Imposta un'autorità di certificazione

0

Sto lavorando alla creazione di un PKI all'interno della nostra organizzazione al fine di supportare i certificati di firma del codice per i dispositivi incorporati in seguito a un requisito di uno dei nostri clienti. Ho l'intero progetto sul posto e l'unica cosa che manca è una CA che emetterà i certificati per noi. Il problema è che la nostra organizzazione (grande quanto è ...) non ha una propria CA, quindi sto esaminando le seguenti opzioni:

  1. Crea una CA radice interna che emetterà certificati (lo dovrà     corrispondono a "Requisiti minimi per l'emissione e la gestione     di certificati di firma del codice con certificazione pubblica, versione 1.1 "     secondo il requierment). Ho fatto ricerche un po 'online e ho trovato 2     approcci principali:

     1.Using windows server :https://msdn.microsoft.com/enus/library/ms762260(v=vs.85).aspx
    
     2.Using OpenSSL and linux server
    
  2. Usa root-CA esterna

sull'opzione 1:

Ho bisogno di sapere qual è l'approccio comune e contro i pro di ognuno dei 2 approcci che ho presentato (sarei lieto di sentire altri approcci che non ho considerato)

sull'opzione # 2:

Quale servizio CA esterno sarà più adatto alle mie esigenze (firmare i certificati di canto del codice usando root-CA)?

Grazie,

    
posta Dima Shifrin 12.06.2017 - 09:49
fonte

1 risposta

0

La scelta della CA interna o esterna dipenderà da un numero di fattori

  • È possibile dettare una nuova CA radice da aggiungere a tutti i client che dovranno utilizzare questi certificati? Se c'è un numero elevato di client e non li controlli, è probabile che sia meglio ottenere i certificati da una CA che è già considerata affidabile da quei client
  • Di quanti certificati hai bisogno? Se hai bisogno di un gran numero di certificati, allora potrebbero farti utilizzare una CA interna come quella esterna che probabilmente si addebiterà per ogni certificato, e questo potrebbe diventare costoso.

Probabilmente la preoccupazione principale è che la tua organizzazione può gestire efficacemente una CA? La gestione di PKI / CA richiede molta cura e attenzione per fare bene. Mentre è possibile impostare OpenSSL e creare una CA con alcuni comandi, l'esecuzione efficace di una CA ha problemi operativi da considerare. Il principale è la gestione sicura e sicura dei certificati e il loro ciclo di vita.

Come esempio, è necessario mantenere la sicurezza assoluta della chiave radice. La perdita di questo (perdita dei dati o compromissione) potrebbe comportare il riemissione di tutti i certificati in questione, il che, se si guardano i dispositivi incorporati, potrebbe essere doloroso, a seconda di quanto sia facile applica gli aggiornamenti a questi sistemi.

    
risposta data 12.06.2017 - 10:50
fonte