Necesito crear mi propia CA para una intranet y, lamentablemente, parece que no hay una buena respuesta al respecto en Security.SE.
Hay muchos recursos en línea sobre esto, pero todos son diferentes y algunos utilizan valores predeterminados obsoletos (MD5 / SHA1, etc.) que no parecen ser tan confiables. También hay cientos de variaciones diferentes de openssl.cnf
, que van desde un archivo de 10 líneas hasta el enorme que vino de forma predeterminada con mi distribución.
Me gustaría recibir una respuesta canónica sobre la configuración de un simple para emitir certificados de servidor y certificados de cliente.
Al parecer, algunas personas aún no entienden que no soy una gran empresa en la que un compromiso de CA causa miles de millones de pérdidas y no se puede mitigar fácilmente, así que permítame explicar un poco mejor por qué necesito la CA:
-
varios servidores conectados a través de enlaces inseguros (Internet) necesitan comunicarse de forma segura.
-
Necesito una forma de identificarme en esos servidores para realizar tareas administrativas, sin tener que ir y volver a mi administrador de contraseñas cada 10 segundos.
-
no otra Las CA que las mías deberían poder hacerse pasar por cualquiera de los servidores, sin importar lo poco probable ( pero posible ) que es.
Allí. Mi propia PKI y un certificado instalado en cada máquina parecen ajustarse perfectamente a las necesidades. Uno de los programas que uso también requiere el uso de una PKI, por lo que usar certificados autofirmados no es una opción.
Para comprometer la PKI, alguien tendría que comprometer mi máquina de trabajo, y si se hace eso, el atacante ya puede hacer un poco de daño sin siquiera tocar la PKI (ya que estaría iniciando sesión a través del servidor SSH a través de SSH). máquina de todos modos). Ese es un riesgo que estoy aceptando, y esta PKI no agrega más riesgos de los que ya existen.