Estoy empezando a intentar implementar algunas ideas internas de PKI, donde mi aplicación necesitaría un certificado para "firmar" los mensajes. Como todo esto es completamente interno, tenemos cierto grado de confianza, y me gustaría que la aplicación cliente pueda presentar el csr [a través del cable] a una CA que luego devolvería un certificado firmado.
¿Hay alguna sugerencia sobre la mejor manera de obtener una solución de CA interna como esta?
Bueno, puedes crear una API web que firme las solicitudes (Java, C #) y la ejecute sobre SSL (HTTPS).
La API basada en web de construcción segura para solicitudes de firma, con filtrado de seguridad de múltiples capas (firewall) y control de acceso (físico, red, aplicación y factor humano involucrado), en red / gabinete aislado con bloqueos físicos.
Definitivamente, la aplicación debería ejecutarse en algo como C # o Java, no PHP. El lenguaje estático es mucho más seguro, C # o Java es una muy buena opción para el gran servidor de aplicaciones, mientras que el filtrado y otros pueden incluso escribirse en C ++ o usar ModSecurity.
También necesita una buena criptografía en cada capa de seguridad, no solo SSL, sino también acceso basado en SSL a la base de datos, autenticación de certificados en bases de datos como SQL Server u Oracle, cifrado de bases de datos. Además, la aleatorización de tokens de sesión (RNG criptográficamente seguro), la seguridad de recuperación de contraseñas, etc. deben estar protegidas con token aleatorio / encriptado.
Finalmente, la copia de seguridad de los certificados y la clave privada preferiblemente en diferentes ubicaciones no accesibles con replicación o manejo a través de copia segura con ssh.
Como parece ser una forma fácil y sencilla que funcionaría con IIS en Windows Server en C # Visual Studio, lo que garantiza un aislamiento y una capacidad de recuperación / filtrado adecuados, y también puede usar SQL Server y su API criptográfica. También hay un muy buen marco para API basada en web con serialización y sesión.
Lea otras preguntas en las etiquetas public-key-infrastructure certificates certificate-authority