Bloqueo de áreas de administración basadas en web con certificados SSL personales

4

Me asignaron la tarea de configurar una plataforma segura, donde se me pidió que asignara certificados SSL personales a los administradores, y que el servidor solo permita que las personas ingresen a las áreas de administración que tienen estos certificados específicos.

Estamos ejecutando Windows Server 2008 R2 Web, con IIS 7.5. Sé cómo activar y desactivar el requisito de certificado SSL para las áreas de administración; pero no puedo averiguar cómo tener muchos certificados X asignados a muchos administradores que pueden acceder a áreas específicas.

No estoy seguro de la terminología para poder buscar en Google estas cosas, lo que no ayuda en mi búsqueda; Solo puedo encontrar cosas obsoletas.

(Tengo otra pregunta sobre esto en Server Fault, pero me dijeron que fuera aquí).

    
pregunta glasnt 27.07.2011 - 11:43
fuente

3 respuestas

9

Aquí hay algunas cosas de diseño de alto nivel para arar primero. Hay un par de formas para despellejar al gato, y la forma en que lo configure afectará la sostenibilidad a largo plazo de este sistema.

Emisión y gestión de certificados:

Por lo tanto, definitivamente deberá emitir a cada administrador su certificado. Como es habitual, Microsoft juega bien con Microsoft, por lo que si ya tiene su propia CA configurada para emitir certificados SSL del servidor (o certificados de controlador de dominio), entonces aprovecharla podría ser una forma fácil de hacerlo. Tendrá que pensar detenidamente:

  • Cómo entregar los certificados a los administradores

  • Cómo los administradores almacenan su certificado, por ejemplo, los certificados de software son fáciles de crear, y la clave privada se almacena en un archivo, pero si cambia de máquina a máquina haciendo su trabajo, ¿cómo puede mantener esa privacidad? clave segura? en un USB? Los USB son fáciles de perder! ¿Importado en cada navegador en cada sistema? Eso es poner el par de llaves en muchos lugares. Poner los certificados en tarjetas inteligentes u otros tokens de hardware es más costoso, pero más seguro. ¡Pero debe asegurarse de que los administradores tengan un lector de tarjetas inteligentes en cada máquina! Esto realmente puede impactar en su política de seguridad y debe resolverse antes de que dedique tiempo a configurar el sistema.

  • ¿Cómo se terminan los certificados de administrador? El proceso típico de PKI es la revocación por parte de la CA, pero eso supone que sus servidores tienen una forma de verificar el estado del certificado a través de CRL o OCSP. Los servidores IIS pueden hacer eso ("verificación del estado del certificado" de google o "validación del estado del certificado") pero es casi seguro que requiere cierta configuración tanto en la CA como en el servidor. También puede querer instalar un servidor OCSP, si aún no lo ha hecho.

  • cómo se autentican los certificados: deseará configurar su almacén de confianza de IIS para incluir la CA que emite sus certificados de administrador. Esta es una razón importante para que una CA firme sus certificados ... si no lo hace, debe configurar cada almacén de confianza para que confíe en el certificado de entidad final autofirmado y eso es una pesadilla de mantenimiento.

¿Cómo se asignan los privilegios?

Una CA se usa generalmente para emitir una variedad de certificados, solo algunos de ellos son certificados de administrador. La forma en que diseñe las asignaciones de privilegios tiene un gran impacto en la forma en que funcionan todas estas cosas. Aquí hay algunas opciones:

  • haga que sea una calidad especial del certificado emitido; por ejemplo, incluya la palabra "Administrador" en el Nombre distinguido cuando cree y firme el certificado de Administrador. Busque ese campo cuando el administrador inicie sesión. Esto puede involucrar algún código personalizado en el servidor. Ventaja: no hay una comprobación centralizada adicional, Desventaja: debe tener una forma de emitir certificados de manera consistente, debe revocar los certificados cuando un administrador deja su puesto, debe verificar el estado del certificado.

  • configure privilegios en Active Directory, como dicen los enlaces de @M'vy - hay formas de configurar AD (o cualquier servidor LDAP) para afiliar a usuarios (autenticados por certificados) con privilegios (es decir, ser un administrador) - esto hace que la configuración sea más fácil de cambiar: el usuario puede tener 1 certificado, que usa para cosas de administrador. Este privilegio se puede desconectar cuando el usuario no es un administrador, o se pueden agregar otros criterios a través de AD. Significa configurar su AD y su servidor IIS para verificarlo. Agrega algo de complejidad a la configuración del usuario, ya que ahora el administrador necesita un certificado Y una configuración en el servidor de Active Directory.

  • Configure estáticamente en el servidor; mantenga una lista de certificados de administración confiables en el servidor, y verifique esta lista, esa es la forma libre de AD que figura en los enlaces de @ M'vy, que funciona bien para un pequeño funciona sin un servidor AD, pero se vuelve problemático si tiene que administrar muchos servidores, ya que cada servidor necesita una actualización cada vez que un administrador se une o se retira.

Cualquiera o todas estas opciones funcionarán, es solo una cuestión de la frecuencia con la que cambias de administrador, cuántos servidores tienes que administrar y cuál quieres que sea el proceso. Pensar en todo eso te ahorrará mucho dolor a largo plazo.

Aquí hay algunas palabras de éxito para investigar esto: - para forzar al usuario el inicio de sesión basado en SSL con un certificado digital - "autenticación de cliente SSL", "autenticación de cliente", "autenticación / autenticación de cliente TLS", - para obtener más ayuda de configuración - "almacén de certificados (certificados)", "certificados de confianza", - para la comprobación del estado del certificado: "comprobación de CRL", "comprobación OCSP", "comprobación del estado del certificado", "verificación / validación del certificado" - para configurar los privilegios "control de acceso basado en roles", "gestión de privilegios",

Y combina esos con el software que estás intentando configurar.

    
respondido por el bethlakshmi 27.07.2011 - 16:53
fuente
5

No estoy familiarizado con IIS, así que espero que lo que encontré no sea el resultado obsoleto que ya encontraste.

Pero lo que necesita es configurar una Autoridad de Certificación y emitir un certificado por Usuario. Encontré este sitio hablando sobre cómo hacerlo. Parece que la asignación se realiza entre el certificado y los usuarios de AD (??). Puede consultar aquí y aquí sobre el llamado one-to-one mapeo.

Espero que esto ayude.

    
respondido por el M'vy 27.07.2011 - 11:58
fuente
0

¿Ya tiene configurada una infraestructura de clave pública? Si se trata de una nueva implementación, es posible que desee realizar una copia de seguridad un poco y realmente pensar en CÓMO desea hacer esto. De lo contrario, estará administrando silos separados de Autoridades de Certificación.

    
respondido por el M15K 27.07.2011 - 16:05
fuente

Lea otras preguntas en las etiquetas