Siente curiosidad por el mejor comienzo para la Autoridad de certificados (CA) de respuesta automática

2

Estoy empezando a intentar implementar algunas ideas internas de PKI, donde mi aplicación necesitaría un certificado para "firmar" los mensajes. Como todo esto es completamente interno, tenemos cierto grado de confianza, y me gustaría que la aplicación cliente pueda presentar el csr [a través del cable] a una CA que luego devolvería un certificado firmado.

¿Hay alguna sugerencia sobre la mejor manera de obtener una solución de CA interna como esta?

    
pregunta Amigadude 11.08.2012 - 04:44
fuente

1 respuesta

1

Bueno, puedes crear una API web que firme las solicitudes (Java, C #) y la ejecute sobre SSL (HTTPS).

La API basada en web de construcción segura para solicitudes de firma, con filtrado de seguridad de múltiples capas (firewall) y control de acceso (físico, red, aplicación y factor humano involucrado), en red / gabinete aislado con bloqueos físicos.

Definitivamente, la aplicación debería ejecutarse en algo como C # o Java, no PHP. El lenguaje estático es mucho más seguro, C # o Java es una muy buena opción para el gran servidor de aplicaciones, mientras que el filtrado y otros pueden incluso escribirse en C ++ o usar ModSecurity.

También necesita una buena criptografía en cada capa de seguridad, no solo SSL, sino también acceso basado en SSL a la base de datos, autenticación de certificados en bases de datos como SQL Server u Oracle, cifrado de bases de datos. Además, la aleatorización de tokens de sesión (RNG criptográficamente seguro), la seguridad de recuperación de contraseñas, etc. deben estar protegidas con token aleatorio / encriptado.

Finalmente, la copia de seguridad de los certificados y la clave privada preferiblemente en diferentes ubicaciones no accesibles con replicación o manejo a través de copia segura con ssh.

Como parece ser una forma fácil y sencilla que funcionaría con IIS en Windows Server en C # Visual Studio, lo que garantiza un aislamiento y una capacidad de recuperación / filtrado adecuados, y también puede usar SQL Server y su API criptográfica. También hay un muy buen marco para API basada en web con serialización y sesión.

    
respondido por el Andrew Smith 11.08.2012 - 21:49
fuente

Lea otras preguntas en las etiquetas