ti-enxame.com

CA para uma intranet grande

Estou gerenciando o que se tornou uma intranet muito grande (mais de 100 hosts/serviços diferentes) e deixarei minha função em um futuro próximo. Quero facilitar as coisas para a próxima vítima pessoa que toma o meu lugar.

Todos os hosts são protegidos via SSL. Isso inclui vários portais, wikis, sistemas de entrada de dados, sistemas de RH e outras coisas sensíveis. Estamos usando certificados autoassinados que funcionaram bem. no passado, mas agora são problemáticas porque:

  • Os navegadores tornam mais difícil para os usuários entenderem exatamente o que está acontecendo quando um certificado autoassinado é encontrado, e muito menos aceitá-los.

  • Colocar um novo host significa 100 chamadas telefônicas perguntando o que significa "Adicionar uma exceção"

O que estávamos fazendo é apenas importar os certificados autoassinados quando configuramos uma nova estação de trabalho. Isso foi bom quando tínhamos apenas uma dúzia para lidar, mas agora é esmagador.

Nosso I.T. O departamento classificou isso como ya all's problem, tudo o que obtemos deles é o suporte para configurações de comutador e roteador. Além de o usuário ter conectividade, tudo depende dos administradores da intranet.

Temos uma mistura de estações de trabalho Ubuntu e Windows. Gostaríamos de configurar nossa própria raiz de CA autoassinada, que pode assinar certificados para cada host implantado na intranet. É claro que os navegadores clientes deveriam confiar em nossa CA.

Minha pergunta é: isso seria perigoso e seria melhor usarmos certificados intermediários de alguém como a Verisign? De qualquer maneira, ainda tenho que importar a raiz da CA intermediária, então realmente não vejo qual é a diferença?

Além de cobrar dinheiro, o que a Verisign estaria fazendo que não poderíamos, além de proteger o certificado CA raiz, para que não possa ser usado para fazer falsificações?

3
Tim Post

Em poucas palavras: não vejo razão para usar um certificado comercial. Um auto-assinado é - neste caso - suficiente (IMHO). Uso apenas materiais da Verisign (ou GoDaddy mais barato) para comércio eletrônico, porque o cliente pode ter certeza de que a identidade do proprietário foi verificada.

Para configurar sua própria CA (que no seu caso deve conter um certificado raiz e muitos "subcertificados"), programas como o TinyCA podem ajudá-lo a ter uma visão geral.

Para os desktops do Ubuntu, você pode usar o UCK para configurar seu próprio CD de instalação com o certificado. Para o Windows, não conheço as "melhores práticas", mas acho que programas como OPSI (código aberto) podem ajudar (nunca tentei isso).

Espero ter entendido sua pergunta corretamente e esta resposta ajudaria. Senão, por favor, não me dê um tapa. :-)

2
fwaechter

Adicional à resposta da fwa - se você estiver em um ambiente Windows/Active Directory, poderá configurar uma autoridade de certificação interna que seja automaticamente enviada ao armazenamento de certificados raiz de todas as máquinas do seu domínio. Essa funcionalidade é realmente incorporada ao Windows.

Você só precisa instalar o serviço da Autoridade de Certificação em uma máquina e atualizar seu GPO para refletir a nova CA. Como fazer isso deve ser solicitado em Falha no servidor , no entanto, você precisará da entrada de seus funcionários de TI para fazer isso.

1
Mark Henderson