Me gustaría aprender los métodos de estante superior para diseñar y administrar una infraestructura genérica de certificados X509. Hay algunos libros aquí y allá, pero pensé que preguntaría si alguien aquí tiene algún favorito.
Libros, recursos web, etc?
(¿o no es este el mejor intercambio para preguntar?)
En términos generales, las preguntas de "lista de compras" son mal vistas en los sitios de Stack Exchange, porque no se asignan bien al formato Q & A; no pueden tener una respuesta completa y definitiva, y cualquier lista se desactiva inevitablemente con el tiempo.
Sin embargo, todavía podemos decir algunas generalidades (es decir, responder a la meta pregunta, también conocida como "¿cómo encontraría buena información?"). PKI es 5% criptografía, 95% procedimientos. Los "procedimientos" son lo que los humanos deben hacer para configurar la CA y para ejecutarlo después, la principal de las cuales es la ceremonia clave desde la cual se inicia la seguridad (consulte esta respuesta ). Aunque los procedimientos son papel y humanos y auditorías y más papel, solo pueden funcionar dentro de la limitación de las herramientas, es decir, lo que ofrece el software y hardware PKI. Como tal, el lugar correcto para comenzar es el manual para el software principal PKI . Por ejemplo, si desea utilizar las tecnologías de Microsoft ("Servicios de certificados de Active Directory"), inicie allí . Si desea utilizar EJBCA, inicie allí . Si desea que su PKI sea un par de scripts hechos a mano alrededor de OpenSSL, entonces ... no es serio.
Desde un punto de vista más meta, diría que hay dos formas de instalar y ejecutar una PKI correctamente:
En mi propio caso, encuentro que las nociones detalladas de lo que sucede debajo del capó ayudan mucho con la depuración. Por lo tanto, escribir su propio analizador ASN.1 y el motor de validación de certificados le otorgará suficiente información para obtener una pista sobre qué funciona y qué no en una PKI; También odiarás a fondo X.509. Comience con RFC 5280 , que le enseñará la jerga y le mostrará qué pueden hacer los certificados y qué no. Complete esto con la guía de estilo X.509 ; es del año 2000 y, por lo tanto, debería estar obsoleto, pero no lo es, lo que dice mucho sobre X.509.
(*) Si recuerda que autenticación no es autorización y, por lo tanto, tratar de administrar los derechos de acceso a través de la revocación del certificado no funciona, entonces He evitado dos años de desgarros y rechinar los dientes.
Lea otras preguntas en las etiquetas public-key-infrastructure tls