Métodos para la firma inmediata de certificados

Navega tus respuestas
2

Soy un novato absoluto en el proceso de generación de certificados y CSR de la empresa. Entonces, por favor, señale cualquier tontería obvia en la pregunta.

¿Es posible automatizar completamente el proceso de generación de CSR + firma de certificado por parte de una CA e instalación de certificado firmado? Desde mi entendimiento básico, creo que la presentación de CSR y la firma del certificado por parte de la AC tienen un tiempo de respuesta al ritmo de los días y también requeriría una intervención manual. ¿Alguien ha logrado automatizar ese paso? ¿Las AC exponen la firma como un servicio web?

    
pregunta Krishter 07.05.2015 - 18:36
fuente

3 respuestas

1

Mientras lo pienso, ahora puedo responder definitivamente que algunos CA ofrecen API web que permite automatizar parte o la totalidad de la firma / generación de certificados.

Algunos ejemplos concretos de esto son Digicert , GlobalSign , Gandi .

Por lo tanto, otras CA pueden ofrecer los mismos servicios, sin embargo, debe verificar:

  • La funcionalidad disponible, no todas las funciones disponibles desde la interfaz web gráfica puede estar disponible desde la API web,
  • Esto también puede ser una opción pagada. Siempre se requiere una clave API para dicha operación, y obtener esta clave puede estar sujeta a algunas tarifas.
respondido por el WhiteWinterWolf 07.05.2015 - 19:32
fuente
0

Quizás sea relevante Configuración de la Autoridad de Certificación de OpenSSL . Uso esto en entornos de desarrollo todo el tiempo, pero esta es una entidad de certificación completamente indigna de confianza. Por otro lado, significa que los desarrolladores que necesitan certificados para realizar pruebas pueden obtenerlos de inmediato. Incluso tengo una interfaz web y un script para un OCSP, nuevamente porque son útiles para las pruebas.

Pero eso no ayuda si quieres certificados de confianza . La CA tiene un proceso para validar las cosas que van a firmar. El proceso puede tener componentes automatizados, pero en última instancia, tienen que tomarse el tiempo suficiente para validar su identidad a quién está afirmando en la solicitud de firma, o bien, ser tan útiles como mi pequeña CA de desarrollo.

    
respondido por el Robert Weaver 07.05.2015 - 22:30
fuente
0

La razón por la que esto no suele estar completamente automatizado es que las entidades de certificación quieren proteger su propia reputación y asegurarse de que la persona a la que emiten el certificado sea el propietario real del dominio (a menudo hablando por teléfono con el solicitante) . Hay diferentes niveles de validación / verificación de antecedentes que puede realizar una CA al emitir, los dos principales son Validado por dominio (DV) y Extended Validation (EV) para certificados SSL. Si usted (y sus clientes) están de acuerdo con la seguridad más baja, la validación del certificado DV podría estar completamente automatizada, pero no conozco ninguna que lo haga actualmente, por lo que Let's Encrypt está haciendo olas.

    
respondido por el Mike Ounsworth 07.05.2015 - 19:43
fuente

Lea otras preguntas en las etiquetas

Codificación del mismo mensaje con diferente IV (AES / CBC) Autenticación de cliente SSL / TLS: validación práctica del certificado de cliente