Asegurando los microservicios internos - Letsencrypt vs. Certificados autofirmados - Mejores prácticas

Las autoridades de certificación públicas generalmente no funcionan para servicios internos, ya que sus servicios no son accesibles desde el exterior, por lo que no tienen forma de verificar que el certificado se emita a la entidad correcta. Por ejemplo, si solicitó a Let's Encrypt un certificado de servidor para backend0001.myapp.myinternaldomain , Let's Encrypt debe poder verificar que el caso de solicitud proviene de ese nombre de host. Para los servicios internos, esto generalmente no es accesible desde el mundo exterior.

Autoridad de certificación : En su lugar, debe tener una CA de toda la organización administrada con la misma paranoia que una CA real (debe controlar absolutamente el acceso a la clave de la CA y asegurarse de que solo emite certificados a la entidad correcta).

Certificado de CA : El certificado de CA deberá estar disponible para todos sus servidores y clientes para poder validar las cadenas de certificados.

Certificados de servidor y cliente : Se pueden emitir certificados de servidor y cliente a sus aplicaciones y cliente después de la verificación del nombre de host o la identidad del cliente. La implementación de claves de certificado es algo de lo que hay que tener mucho cuidado. Podría usar algo como keywhiz o vault (solo algunos ejemplos, hay muchos otros) para implementar claves de certificado solo en los hosts correctos.

La mayor complejidad es asegurarse de que las claves solo estén disponibles para las partes correctas. Hacer la parte correcta es más una configuración del proceso y menos sobre los aspectos técnicos. Pero nuevamente, existe el mismo problema con una CA pública (menos el problema de la clave de la CA).