Emitir certificados a dos departamentos desde la misma ROOT CA para que uno no confíe en el otro

6

Escenario:

  1. Tenemos dos departamentos dentro de TI; Diga Department-OLD y Department-NEW .
  2. Existe un único entorno PKI interno y All endpoints confía en una CA raíz (singular).

Problema:

Department-New , en la misma red, está realizando una gran cantidad de nuevos desarrollos. Deben emitir certificados para todos sus sistemas y aplicaciones, pero no queremos que el resto de la organización ( Department-OLD y endpoints ) confíe en los certificados utilizados por Department-NEW .

¿Cómo se puede lograr esto?

    
pregunta Xorprime 09.07.2015 - 08:15
fuente

2 respuestas

2

Podría ser menos problemático configurar una nueva CA raíz para Department-New para el trabajo de desarrollo. En sus máquinas, instale ambos certificados raíz ( rootCA-general y rootCA-dev ) en el almacén de confianza, en las máquinas de todos los demás solo instale rootCA-general .

    
respondido por el Mike Ounsworth 09.07.2015 - 14:51
fuente
0

¿Para qué estás usando los certificados? Puede restringir los certificados en un intermediario utilizando

  • políticas de EKU (HTTPS vs Email vs SmartCards)
  • Restricciones de nombre

La combinación de los anteriores podría lograr lo que estás buscando

    
respondido por el random65537 09.07.2015 - 14:44
fuente

Lea otras preguntas en las etiquetas