El esquema de nombre de nombre común predeterminado en ADCS es <DomainName>-<CAHostName>-CA
. Para escenarios muy pequeños y puramente internos funcionaría, sin embargo, este esquema expone al menos dos propiedades: nombre de dominio interno de Active Directory y nombre de host. Además, si CA se encuentra en un controlador de dominio, puede revelar el nombre del controlador de dominio. Por ejemplo, Contoso-DC1-CA
diría que el nombre de dominio interno es Contoso
, el nombre de host de CA es DC1
. Por lo tanto, podemos suponer que este servidor también actúa como un controlador de dominio. En algunos términos, este sería un gran comienzo para un atacante en el aprendizaje de estructuras internas.
Además, el sufijo de nombre distinguido predeterminado contiene la ruta X.500 completa a un dominio donde reside CA. Por ejemplo, DC=HQ, DC=Int, DC=Contoso, DC=com
. Aquí podemos identificar que la empresa Contoso tiene al menos tres dominios de AD en el árbol LDAP: el dominio superior es Contoso
(lo más probable, nombre de la organización), el dominio secundario es Int
(probablemente, Interno) y el subchild es HQ
(presumiblemente, sede)
Sin embargo, los riesgos de seguridad no son tan peligrosos, porque en muchos casos es más fácil recuperar esta información (y mucho más) de otras maneras. Por ejemplo, investigar certificados de clientes, usar herramientas de ingeniería social, etc. Las recomendaciones de nombres juegan un papel muy importante en la flexibilidad. Cuando CA se adhiere a un dominio y nombre de host en particular, sería muy difícil mover a CA a otro lugar (debido a las reorganizaciones) y la información del nombre de CA sería engañosa para los usuarios corporativos. Eventualmente, tendrá que retirar el servidor de CA y mover los clientes a una nueva CA en un nuevo lugar.
Como resultado, se recomienda construir sus CA ya que no están vinculadas a ningún dominio específico. Sin embargo, se incluirá información de la organización.
Supongamos que está implementando ADCS de 2 niveles en Contoso Pharmaceuticals y planea implementarlo en los dominios hq.int.contoso.com
y west.int.contoso.com
, luego podría usar los siguientes nombres para CA raíz fuera de línea y CA emisoras en línea:
Root CA common name:
CN=Contoso Pharmaceuticals Root CA
OU=Security Division
O=Constoso Pharmaceuticals Ltd.
L=Philadelphia
S=PA
C=US
Issuing CA (headquarters) common name:
CN=Contoso Pharmaceuticals Class 3 Client CA
OU=Security Division
O=Constoso Pharmaceuticals Ltd.
L=Philadelphia
S=PA
C=US
Issuing CA (west branch) common name:
CN=Contoso Pharmaceuticals West Coast Class 2 Client CA
OU=Security Division
O=Constoso Pharmaceuticals Ltd.
L=San Francisco
S=CA
C=US
Este esquema no revela nombres internos y no está vinculado a ningún dominio de Active Directory, por lo que será fácil realizar la migración del servidor de CA a través de dominios y árboles e incluso bosques durante las reorganizaciones. Por otro lado, proporcionan información suficiente para identificar a la organización que posee estas CA y pueden proporcionar a los usuarios algunas pistas sobre la ubicación de la CA para seleccionar la CA más cercana. Las direcciones de ubicación no son necesarias (porque pueden recuperarse de fuentes públicas), pero pueden ser requeridas por las leyes. Como mínimo, los atributos Organizational Unit
, Organization
y Country
RDN deben especificarse en el sufijo DN.
La denominación de ADCS es importante, pero muchos administradores se olvidan de otra cosa donde la denominación es importante: las extensiones de certificado Authority Information Access
y CRL Distribution Points
. El esquema de nomenclatura predeterminado revela mucha más información (a un posible atacante) que el nombre de CA predeterminado. Y es difícil migrar CA en otro lugar con ubicaciones predeterminadas de CDP y AIA. Hace algún tiempo escribí una guía que utiliza las mejores prácticas en los esquemas de nombres de URL de CDP / AIA. Esto también podría ser útil para usted: Diseñar CRL Puntos de distribución y ubicaciones de acceso a la información de la autoridad