Dos entidades emisoras de certificados en una PKI de dos niveles (Windows Server 2012)

Question

Dos entidades emisoras de certificados en una PKI de dos niveles (Windows Server 2012)

#1 de garethTheRed (1 votos)

1

Estoy planeando configurar PKI de dos niveles en mi entorno. Tenemos dos sitios remotos conectados a través de una VPN. Creo que está bien configurar tanto la CA raíz como la CA emisora en el primer sitio.

Pero, por ejemplo, tengo un servidor web interno en el segundo sitio.

¿Tengo razón en que, si la VPN falla, los clientes del segundo sitio todavía pueden establecer una conexión HTTPS con el servidor web de este sitio?
¿Es una buena idea configurar una segunda CA emisora en el segundo sitio? También soy ¿Confundido cómo tratar con CDP en este caso, porque actualmente planeo crear un punto de distribución a través del servidor web en la primera CA emisora?

He utilizado esta guía con fines informativos.

public-key-infrastructure windows-server

pregunta Vasiliy Plotnikov 23.02.2016 - 12:23

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure windows-server

¿Cómo evitar que Chromeipass complete automáticamente las credenciales? ¿Qué información debe limpiarse antes de publicar los encabezados de los correos electrónicos en público?

score 1 · Accepted Answer

Sus CA solo se utilizan para emitir los certificados y las listas de revocación; una vez emitidas, las CA son redundantes hasta el momento en que desee emitir más certificados o emitir / renovar una CRL.

La información de revocación, por otro lado, debe estar disponible 24/7. Algunos (¿todos?) Clientes almacenan en caché la información de revocación, lo que puede darle un margen de maniobra, pero aun así, debe considerar que el tiempo de actividad de su CDP es mucho más importante que el tiempo de actividad de su CA.

Si le preocupa la confiabilidad de su VPN, considere ejecutar un CDP en cualquiera de los dos extremos. Alguna magia de DNS (¿DNS dividido?) Puede permitirle tener la URL de su CDP para que apunte al sitio local del cliente, independientemente de si es el sitio 1 o 2.

Por lo tanto, para responder a su pregunta:

Los clientes en el sitio remoto pueden acceder a un sitio web de HTTPS en ese sitio remoto solo si la información de revocación está disponible para el cliente; asumiendo que el cliente revisa la revocación, por supuesto.
Si bien puede colocar una segunda CA en el sitio remoto, administrar certificados se vuelve un poco más difícil. Un plan mejor sería tener una única CA emisora y varios CDP. Por supuesto, si su VPN está inactiva más de lo que está activada, entonces sería mejor considerarlos como dos sitios aislados y ejecutar un CA y un CDP en cada uno.