Configurar una autoridad de certificación

0

Estoy trabajando en la creación de una PKI dentro de nuestra organización para admitir certificados de firma de código para dispositivos incrustados siguiendo un requisito de uno de nuestros clientes. Tengo el diseño completo en su lugar y lo único que falta es una CA que emitirá los certificados para nosotros. El problema es que nuestra organización (tan grande como es ...) no tiene su propia CA, por lo que estoy analizando las siguientes opciones:

  1. Cree una CA raíz interna que emitirá certificados (deberá     Corresponden a "Requisitos Mínimos para la Emisión y Gestión.     de Certificados de Firma de Código de Confianza Pública, Versión 1.1 "     segun el requerimiento). Busqué un poco en línea y encontré 2     enfoques principales:

     1.Using windows server :https://msdn.microsoft.com/enus/library/ms762260(v=vs.85).aspx
    
     2.Using OpenSSL and linux server
    
  2. Usar una CA raíz externa

sobre la opción # 1:

Necesito saber cuál es el enfoque común y los contras frente a los pros de cada uno de los 2 enfoques que presenté (con mucho gusto oiré otros enfoques que tampoco he considerado)

sobre la opción # 2:

¿Qué servicio de CA externo será el más adecuado para mis necesidades (firmar certificados de canto de código usando la CA raíz)?

Gracias,

    
pregunta Dima Shifrin 12.06.2017 - 09:49
fuente

1 respuesta

0

La elección de la AC interna o externa dependerá de una serie de factores

  • ¿Puede dictar una nueva CA raíz que se agregará a todos los clientes que necesitarán usar estos certificados? Si hay una gran cantidad de clientes y usted no los controla, entonces es probable que esté mejor obteniendo los certificados que le otorga una autoridad de certificación en la que ya confían esos clientes
  • ¿Cuántos certificados necesitas? Si necesita una gran cantidad de certificados, es posible que lo lleven a utilizar una CA interna, ya que es probable que se aplique un cargo por certificado, y esto podría resultar costoso.

Probablemente la principal preocupación es si su organización puede administrar efectivamente una CA. La gestión de PKI / CA requiere bastante cuidado y atención para hacerlo bien. Si bien es posible configurar OpenSSL y crear una CA con unos pocos comandos, la ejecución efectiva de una CA tiene problemas operacionales a considerar. La principal es la gestión eficaz y segura de los certificados y su ciclo de vida.

Como ejemplo, debe mantener la seguridad absoluta de la clave raíz. La pérdida de esto (ya sea la pérdida de los datos o el compromiso de los mismos) podría hacer que tenga que volver a emitir todos los certificados en cuestión, lo cual, si observa dispositivos integrados, puede ser doloroso, dependiendo de lo fácil que sea. aplicar actualizaciones a estos sistemas.

    
respondido por el Rоry McCune 12.06.2017 - 10:50
fuente