Estamos considerando configurar una autoridad de certificación interna para emitir certificados ssl. Los certificados se usarían principalmente para proteger sitios web internos, pero también podría prever que emitiremos certificados para asegurar nuestra infraestructura VPN en algún momento futuro. Nuestros sistemas se basan principalmente en Windows unido al directorio activo, aunque también centos sistemas y algunos sistemas mac. ¿Entonces me pregunto cuál es la mejor estrategia?
Me inclino a configurar una CA raíz fuera de línea y una CA emisora empresarial (jerarquía PKI de dos niveles). Mi impresión es que puedo hacer esto completamente con las máquinas virtuales, pero también existe la posibilidad de que la CA raíz se pueda hacer con un HSM de hardware. Un HSM presenta una situación interesante en el sentido de que puede estar completamente fuera de línea, y almacenarse en un lugar seguro, probablemente tampoco hay OS para preocuparse por parchear, mantener, actualizar, etc. Dado que probablemente emitiremos el certificado raíz por 20 años. Parece bastante atractivo.
¿Alguien ha usado un HSM antes? Cualquiera recomendaría que esté basado en usb, barato (no más de unos cientos de dólares) y fácil de configurar. ¿Algún desafío al incorporar el HSM con un CA emisor de Microsoft? ¿Qué más debemos considerar? ¿Alguien puede recomendar buenos consejos? Estoy buscando en google con resultados mixtos.
Gracias, Brad