distribuyendo certificados SSL?

4

Solo estoy familiarizado con los certificados SSL en un caso de uso simple: los he instalado en sitios web, servidores de Windows y algunos servidores de Linux.

Ahora me enfrento a la tarea de proteger todos los dispositivos posibles en nuestra red internacional con certificados SSL. He comprado un certificado wildcard * .mydomain.com de Comodo para poder usar el mismo certificado en todas partes, pero todavía tengo que hacer frente a la tarea de instalar certificados en muchos servidores Windows, servidores Apache, servidores Linux de varios tipos. , sistemas operativos propietarios, equipos de escritorio e incluso impresoras.

Lo más desalentador de esta tarea es que tendré que hacerlo una y otra vez, cada vez que caduque el certificado SSL. Sé que puedo comprar un certificado de 5 años, pero aún así, es una molestia que preferiría no tener que repetir.

¿Es posible que un sistema (como un servidor de dominio de Windows) actúe como servidor de certificados y luego cargue todos los demás dispositivos con un certificado que "apunte" al servidor de certificados para su validación? Mi idea es que solo tendría que actualizar el certificado en una ubicación central, y luego todos los demás dispositivos que apuntan a ese servidor se actualizarían automáticamente. Ya he señalado que hay conceptos como "CA intermedias", "Cadenas de certificados" y "Autoridades de CA locales", pero no estoy seguro de si es posible aprovechar esos conceptos para ayudarme a distribuir un certificado de un gran nombre CA en la red ...

    
pregunta Daniel 05.06.2015 - 17:17
fuente

3 respuestas

5

Para realizar esta tarea, normalmente no confía en un solo certificado sino en una autoridad de certificación interna.

Primero configura su propia CA raíz fuera de línea y luego inmediatamente configura al menos una autoridad de certificación intermedia (generalmente más) con claves firmadas por su raíz privada (si está utilizando una infraestructura de Windows AD, estos ICA pueden ser configuración utilizando el servidor de servicios de certificados de Windows y luego integrado en su AD).

Una vez implementado correctamente (lo que no es una tarea trivial), puede generar y renovar certificados para sus servidores con mucha facilidad.

El punto débil de esta estrategia es que generalmente solo funciona internamente: los sistemas externos no reconocerán su raíz como válida. Un método típico para resolver esto es usar servidores proxy inversos ubicados en su perímetro que ofrecerán a los clientes externos un certificado firmado por una raíz pública y se conectarán a los sistemas internos. Dado que estos proxies deben tener su raíz privada instalada, podrán validar sus conexiones.

Tenga en cuenta que esta es una descripción de la estrategia de muy alto nivel: implementarla de forma segura y global no es fácil y debe hacerse con mucho cuidado.

    
respondido por el Stephane 05.06.2015 - 17:37
fuente
0

La pregunta sugiere un uso de un servidor de certificados para cargar nuevos certificados en otros servidores, lo que es problemático.

Sin embargo, la pregunta sugiere la necesidad de identificar cuándo caducan los certificados. Como ejemplo, CA DigiCert proporciona una herramienta de Inspector de certificados que parece automatizar algunas de estas tareas. Consulte este enlace enlace .

    
respondido por el sdbol 09.10.2017 - 05:58
fuente
0
  

He comprado un certificado comodín * .mydomain.com de Comodo

Entonces, si alguna máquina se ve comprometida, necesita revocar el certificado existente, comprar uno nuevo e implementarlo en todos los hosts.

No proporcionó muchos detalles sobre la cantidad de puntos finales y el trabajo involucrado en la aplicación del certificado. Además, la frecuencia dependerá de factores externos, pero si se trata de más de unos pocos puntos finales, costaría menos esfuerzo ejecutar su propia CA.

Tenga en cuenta que podría obtener el mismo resultado si tuviera un certificado de firma de certificado de "una CA de renombre", pero ni siquiera quiere preguntar cuánto le cobrarían por tal cosa.

  

¿Es posible que un sistema (como un servidor de dominio de Windows) actúe como servidor de certificados y luego cargue todos los demás dispositivos con un certificado que "apunte" al servidor de certificados para su validación?

Sí. Creo que Active Directory hace esto para algunos servicios de MSWindows (RDP, IIS, AD).

Hay muchas herramientas de orquestación disponibles para implementar certificados. Lo tenía configurado en Linux hace 18 años, cubriendo un estado de Linux, MSWindows, servidores HPUX, computadoras de escritorio MSWindows y portátiles de campo. Luego tuve que construir gran parte de la integración yo mismo.

    
respondido por el symcbean 09.10.2017 - 14:19
fuente

Lea otras preguntas en las etiquetas