¿Cómo asegurar un certificado de CA de la empresa?

2

Hemos estado utilizando certificados emitidos por terceros tanto para el cifrado TLS público como para la comunicación interna. También utilizamos certificados emitidos para cifrar las contraseñas persistentes.

El problema es que el certificado es válido solo por 1 año y tenemos que volver a implementarlo y volver a cifrar las contraseñas en todas partes cada año.

Pensé en usar certificados autofirmados para la comunicación interna (donde puedo usar mi propia CA) y cifrar las contraseñas. Yo usaría 10 años de vencimiento o incluso más.

Mi pregunta: ¿cómo almacenar de forma segura el certificado de CA? ¿Cuál es un tiempo de vencimiento razonable para los certificados autofirmados derivados de nuestra CA? ¿Existen herramientas para hacer todo este proceso más simple y seguro?

    
pregunta Igor Gatis 06.04.2017 - 11:30
fuente

1 respuesta

3
  

El problema es que el certificado es válido solo por 1 año y tenemos que   vuélvalo a implementar y vuelva a cifrar las contraseñas en todas partes cada año.

En realidad, debería poder obtener un nuevo certificado mientras reutiliza el antiguo par de llaves. De esa manera, todavía tendría un certificado válido mientras aún pudiera descifrar cualquier información sin volver a cifrarla.

  

¿Cómo almacenar de forma segura el certificado de CA?

La forma más fácil y barata (y menos segura) es tener la clave privada de CA en un archivo cifrado con contraseña en un servidor que considere seguro. Un paso adelante sería comprar una tarjeta inteligente o un token criptográfico que tenga una interfaz PKCS # 11 para almacenar la clave y realizar operaciones de CA. La opción más segura es comprar un Hardware Security Module (HSM) que, técnicamente, es solo una tarjeta inteligente muy rápida y muy segura (y muy costosa, piensa entre miles y decenas de euros).

  

¿Cuál es un tiempo de caducidad razonable para los certificados autofirmados?   derivado de nuestro CA?

keylength.com ofrece una descripción general de cuánto tiempo pueden considerarse seguras las claves con cierto tamaño desde la perspectiva actual. No debes exceder estos límites.

  

¿Existen herramientas para hacer todo este proceso más sencillo y seguro?

Por supuesto. Una herramienta pequeña y fácil sería XCA , por ejemplo. Si planea emitir muchos certificados o funciones PKI más avanzadas, la mejor solución de código abierto disponible es EJBCA . Muy potente, pero necesita bastante más tiempo para acostumbrarse.

    
respondido por el mat 14.04.2017 - 15:49
fuente

Lea otras preguntas en las etiquetas