Ubicaciones de AIA / CRL para la raíz sin conexión

6

He leído la respuesta a la siguiente " Lista de verificación para crear una raíz sin conexión y una autoridad de certificación intermedia (CA) "y tengo una pregunta basada en el sistema que estoy intentando construir

Es un sistema Windows 2008 con 3 dominios / bosque (Eso es un dominio por bosque) Deseo usar certificados dentro de este y creo que debería poder hacerlo con una sola sala fuera de línea firmada por el mismo.

  • ROOT - es la CA = Raíz sin conexión autofirmada
  • DOM1IntRoot es la CA para el dominio de Active Directory DOM1.A.COM
  • DOM2IntRoot es la CA para el dominio de Active Directory DOM2.A.COM
  • DOM23IntRoot es la CA para el dominio de Active Directory DOM3.DOM2.A.COM

No hay confianzas, no hay subdominios. Lo que me gustaría hacer es firmar DOM1IntRoot, DOM2IntRoot y DOM3IntRoot con ROOT para que solo necesite una raíz fuera de línea
Así que eso significa que necesito instalar el certificado ROOT CA en cada dominio, lo cual creo que de Microsoft" Escenario de ejemplo para Contoso " significa que debo configurar la ubicación de AIA de LDAP en una partición de configuración que existe en todos los dominios (en este caso, DC = a, DC = com) y la ubicación de HTTP en algunos servidor Sin embargo, también dice que pueden tener ubicaciones CRL / AIA separadas, lo que parece contradictorio

Entonces, leí la respuesta a la que se hace referencia anteriormente y dice que deje el AIA / CRL en blanco. Lo que parece implicar que DOM1IntRoot, DOM2IntRoot, DOM3IntRoot publicarán el CRL / AIA para la RAÍZ

Tengo dos respuestas posibles, ya sea que ROOTCA tiene CRL / AIA o no. Si el ROOTCA tiene AIA / CRL, entonces, ¿qué debo especificar exactamente para las URL de LDAP / HTTP y FILE para las ubicaciones de AIA y CRL? Por ejemplo, ¿es esto correcto?

ldap:///CN=ROOTCA<CRLNameSuffix>,CN=ROOTCA,CN=CDP,CN=Public Key Services,CN=Services,DC=A,DC=COM
http://<SOMESERVER>/CertEnroll/ROOTCA<CRLNameSuffix><DeltaCRLAllowed>.crl
file://\<SOMESERVER>\CertEnroll\ROOTCA<CRLNameSuffix><DeltaCRLAllowed>.crl

Donde <SOMESERVER> es un servidor con IIS que hará que los Certificados estén disponibles

Tenga en cuenta que NO estoy usando el nombre de los servidores raíz sin conexión como nunca se ha visto, ¿es correcto?

Si el ROOTCA no tiene AIA / CRL, ¿cómo publico una revocación de (digamos) DOM1IntRoot?

Estoy un poco confundido, por lo que esta pregunta puede estar comenzando por suposiciones completamente erróneas

Agregaré un poco de información sobre la estructura del dominio para intentar evitar algunas preguntas.  - DOM1.A.COM es donde los clientes establecen  - DOM2.A.COM es una red de tipo DMZ que protege DOM3  - Solo se accede a DOM3.DOM2.A.COM pero los usuarios de DOM1 inician sesión de forma remota en DOM2 y luego en otra sesión remota en DOM3  - Deseamos utilizar certificados para las vistas entre DOM1 y DOM2 y DOM2 y DOM3  - También usaremos certificados de DOM2 a los dispositivos de red (probablemente debería ser DOM3 pero eso aún se está discutiendo)  - DOM2 y DOM3 están aislados de internet. DOM3 está aislado de todo excepto DOM2

    
pregunta Ross 16.11.2012 - 07:00
fuente

1 respuesta

5

Si la CA raíz está fuera de línea, la CA raíz es fuera de línea : no tiene red. Esto implica que siempre que se publique una CRL, se necesita una intervención de manual para colocarla en un host conectado. En ese momento, puede colocarlo manualmente en tres lugares si es necesario.

Las extensiones de "Acceso de información de autoridad" (AIA) y "Puntos de distribución de CRL" (CRLDP) son información que está escrita en los certificados emitidos por la CA. En ese caso, estas extensiones están en los certificados de CA emitidos a la CA subordinada (las tres CA de subdominio). No hay ningún requisito de que cada sub-CA reciba la misma AIA y CRLDP de la raíz; usted podría organizar perfectamente la raíz para emitir el certificado para CA1 con un AIA y CRLDP apuntando a ubicaciones ( ldap:// URL) en el bosque para DOM1.A.COM , donde presionará manualmente una copia del certificado de CA raíz y el CRL producido por la CA raíz. Lo mismo ocurre con CA2, pero esta vez con ubicaciones en DOM2.A.COM , y así sucesivamente.

Sin embargo, es probable que sea más sencillo utilizar HTTP. Coloque un servidor web en un lugar accesible desde todos los dominios, y haga que la CA raíz escriba los certificados que emite algunos AIA y CRLDP con http:// URL. HTTP simple está bien para certificados y CRL, que son objetos firmados y, por lo tanto, se pueden distribuir sin tener en cuenta ningún tipo de seguridad (sin necesidad de HTTPS o lo que sea para la publicación de certificados y CRL).

Además, el AIA no es muy útil para una CA raíz porque es una raíz: la validación solo funcionará si quien valida confía en la raíz a priori , por lo que ya debe saberlo. AIA es para localizar certificados que no conoce a priori y, por lo tanto, certificados en los que no confía a priori : muy útil para CA intermedia, bastante inútil para la raíz CA. En un contexto de Active Directory, puede insertar la CA raíz como "confiable" a través de, por ejemplo, algunos GPO.

Para automatizar la publicación de CRL, puede utilizar una CA raíz en su mayoría fuera de línea . Esa es una CA raíz que está fuera de línea, excepto que tiene un canal intrínsecamente unidireccional para generar una CRL producida regularmente. Lo he hecho una vez sobre un cable de audio (CRL codificado como sonido, decodificado en el otro lado): la ventaja es que el conector "out" de la interfaz de audio de un servidor es físicamente distinto del conector "in" (el " out "es verde, el" in "es rosa), por lo que se puede determinar visualmente que la raíz aún está fuera de línea. Otras personas han utilizado cables RJ45 con solo un par de cables conectados, que tiene un mejor ancho de banda pero se inspecciona visualmente con menos facilidad.

De todos modos, no cambia la raíz de la cosa, que es que HTTP hará que tu vida sea más sencilla.

    
respondido por el Thomas Pornin 16.11.2012 - 13:24
fuente