Los clientes confían en mi CA personalizada

5

Lo siento si esta es una pregunta tonta. Soy nuevo en todo esto.

Tengo un gran número de usuarios. Necesito poder generar certificados SSL para varios nombres de dominio internos. Todos estos certificados deben ser aceptados por los navegadores. Tengo entendido que necesito generar una Autoridad de Certificación como este artículo muestra: enlace

Luego, con esa autoridad de certificación, puedo firmar una solicitud de firma para cada dominio que necesitamos admitir. Eso me dará un certificado X509 que puedo usar con nuestros servidores web.

Por lo tanto, mis preguntas son:

  1. ¿QUÉ archivos generados debo colocar (instalar, importar, aceptar, etc.) DÓNDE para que mis navegadores confíen en todos los certificados generados por mi CA? Estoy seguro de que WHERE depende del navegador y el sistema operativo, ¿no?
  2. Necesito que sea lo más fácil posible para que mis usuarios acepten a mi CA. Desafortunadamente no tengo la capacidad de empujar nada automáticamente. Lo mejor que puedo hacer es proporcionar un enlace. Entonces, me preguntaba si sería posible crear una página html que se carga a través de http (no segura) que tiene un iframe que se carga desde uno de los servidores seguros. En teoría, la página de iframe dará algún tipo de mensaje y permitirá la instalación. Mi página externa podría dar instrucciones sobre lo que el usuario debe hacer. ¿Funcionaría o me falta algo? Si aceptan el certificado, ¿funcionará para todos los certificados generados por mi CA o solo este?
pregunta user548971 09.06.2012 - 08:06
fuente

4 respuestas

3

Personalmente, comenzaría con un certificado SSL gratuito o gratuito firmado por una CA conocida y confiable para un dominio

Luego, en ese sitio https en el que confían sus navegadores (y que pueden reconocer como un subdominio particular de su organización), bríndeles un enlace https para descargar su certificado de CA con instrucciones sobre cómo cargar los certificados de CA en todos los varios navegadores / sistemas operativos que probablemente usarán.

Por ejemplo, firefox: enlace o en google-chrome: navega a chrome: / / chrome / ajustes / certificados

    
respondido por el dr jimbob 10.06.2012 - 21:54
fuente
3

Internet Explorer utiliza las facilidades proporcionadas por el sistema operativo; a saber, la "CA raíz" en la que IE confiará es la CA raíz en la que Windows confiará, y se encuentran en el almacén de certificados "Raíz". Consulte esta página para obtener más información.

Firefox tiene su propio mecanismo de almacenamiento, independientemente de lo que pueda hacer el sistema operativo host. Consulte, por ejemplo, esta página para obtener más información.

Safari en MacOS X se basa en lo que proporciona el sistema operativo, y se llama "KeyChain". Ver por ejemplo esta página .

Chrome tiende a utilizar cualquier mecanismo proporcionado por el sistema operativo local (el almacén raíz en Windows, KeyChain en MacOS X ...). Se sabe que esto cambia según la versión, por lo que es difícil mantener las cosas al día.

Esta página web intenta realizar un seguimiento de cómo instalar certificados raíz en varias aplicaciones y sistemas operativos, pero parece una poco viejo y no parece mantenido activamente.

Precaución: las CA raíz son las anclas de confianza : todo lo que la máquina confía proviene de estas CA raíz. Por lo tanto, son un blanco muy valioso; a los atacantes les encantaría amar poder insertar su propia CA raíz en el almacén de confianza de muchos sistemas de usuarios. En consecuencia, no es una buena idea capacitar a sus usuarios para agregar CA raíz a su tienda. Los que tengan éxito simplemente demostrarán que son vulnerables a las sugerencias de instalación de CA raíz ...

Ya que indica que sus usuarios no están en su red interna, debo inferir que están en "Internet" en general, y que los servidores SSL son accesibles con nombres "públicos" (es decir, con dominios que existen en la red). sistema de nombres de dominio mundial). Por lo tanto, podría utilizar certificados de CA normal. Algunos son gratuitos . Esto le ahorrará muchos esfuerzos, ya que tales CA ya tienen su CA raíz en las tiendas de confianza de todos. Como de costumbre, el sistema que es más fácil de instalar es el sistema que ya está instalado.

    
respondido por el Thomas Pornin 04.01.2013 - 21:52
fuente
2

Si está buscando una solución de bajo costo y baja complejidad, sobre cómo obtener un certificado comodín de un emisor de certificados real, como Godaddy, en el que todos los navegadores de sus clientes ya confiarían. Siempre que todos sus nombres de host estén en el mismo dominio, esto debería funcionar para usted. Puede usarlo como certificado para tantos hosts como necesite, siempre y cuando estén en el mismo dominio (por ejemplo, host1.myorg.com, host2.myorg.com, host3.myorg.com, etc.)

Al igual que @Thomas Pomin Le advierto que tenga mucho cuidado si solicita a los navegadores que confíen en los certificados firmados por su propio CA, especialmente si no forman parte de su red interna. Si no tiene mucho cuidado con el alcance de quién puede acceder a la CA y crear certificados, esto podría ir muy hacia el sur muy rápidamente. (Turktrust de Google si desea tener una idea de un ejemplo reciente de lo que podría salir mal al emitir certificados de confianza).

    
respondido por el monkeymagic 04.01.2013 - 22:31
fuente
1

Bien, como usted dijo que depende del navegador o del sistema operativo, algunos preguntan si el usuario desea instalar un certificado si uno intenta cargarlo en el navegador, otros deben hacerse de forma completamente manual. Solo se necesita el certificado raíz.

Otra opción que podría considerar es obtener un certificado de CA firmado por otra CA que ya sea de confianza, pero esto podría estar fuera de su rango de precios.

    
respondido por el ewanm89 09.06.2012 - 14:07
fuente

Lea otras preguntas en las etiquetas