it-swarm.com.de

CA Für ein großes Intranet

Ich verwalte ein sehr großes Intranet (über 100 verschiedene Hosts/Services) und werde in naher Zukunft von meiner Rolle zurücktreten. Ich möchte es dem nächsten leicht machen opfer Person, die meinen Platz einnimmt.

Alle Hosts sind über SSL gesichert. Dies umfasst verschiedene Portale, Wikis, Dateneingabesysteme, HR-Systeme und andere sensible Dinge. Wir verwenden selbstsignierte Zertifikate, die in Ordnung sind. in der Vergangenheit, aber jetzt problematisch, weil:

  • Browser machen es Benutzern schwerer, genau zu verstehen, was passiert, wenn ein selbstsigniertes Zertifikat gefunden wird, und noch weniger, sie zu akzeptieren.

  • Das Aufstellen eines neuen Hosts bedeutet 100 Telefonanrufe mit der Frage, was "Ausnahme hinzufügen" bedeutet

Wir haben lediglich die selbstsignierten Zertifikate importiert, als wir eine neue Workstation eingerichtet haben. Das war in Ordnung, als wir nur ein Dutzend zu erledigen hatten, aber jetzt ist es einfach überwältigend.

Unser I.T. Die Abteilung hat dies als ya all's problem klassifiziert. Wir erhalten nur Unterstützung für Switch- und Router-Konfigurationen. Abgesehen davon, dass der Benutzer über Konnektivität verfügt, liegt alles andere bei den Intranetadministratoren.

Wir haben eine Mischung aus Ubuntu und Windows Workstations. Wir möchten unser eigenes selbstsigniertes CA-Stammverzeichnis einrichten, das Zertifikate für jeden Host signieren kann, den wir im Intranet bereitstellen. Client-Browser sollten natürlich unserer Zertifizierungsstelle vertrauen.

Meine Frage ist, wäre dies gefährlich und wäre es besser, Zwischenzertifikate von jemandem wie Verisign zu verwenden? In beiden Fällen muss ich immer noch das Stammverzeichnis für die Zwischenzertifizierungsstelle importieren, damit ich den Unterschied wirklich nicht sehe?

Was würde Verisign tun, als uns Geld in Rechnung zu stellen, was wir nicht könnten, abgesehen vom Schutz des CA-Stammzertifikats, damit es nicht für Fälschungen verwendet werden kann?

3
Tim Post

Kurz gesagt: Ich sehe keinen Grund, warum Sie ein kommerzielles Zertifikat verwenden sollten. Ein selbstsigniertes ist - in diesem Fall - ausreichend (IMHO). Ich verwende nur Verisign-Zertifikate (oder billigere GoDaddy-Zertifikate) für E-Commerce, da der Kunde sicher sein kann, dass die Identität des Besitzers überprüft wurde.

Um Ihre eigene CA einzurichten (die in Ihrem Fall ein Root-Zertifikat und viele "Sub" -Zertifikate enthalten sollte), können Programme wie TinyCA Ihnen helfen, den Überblick zu behalten.

Für die Ubuntu-Desktops können Sie mit UCK Ihre eigene Installations-CD mit dem darin enthaltenen Zertifikat einrichten. Für Windows kenne ich die "Best Practice" nicht, aber ich denke, Programme wie OPSI (Open Source) können helfen (ich habe das noch nie versucht).

Ich hoffe, ich habe Ihre Frage richtig verstanden und diese Antwort würde helfen. Sonst bitte schlag mich nicht. :-)

2
fwaechter

Zusätzlich zur Antwort von fwa: Wenn Sie sich in einer Windows/Active Directory-Umgebung befinden, können Sie eine interne Zertifizierungsstelle einrichten, die automatisch in den Stammzertifikatsspeicher aller Computer in Ihrer Domäne verschoben wird. Diese Funktionalität ist tatsächlich in Windows eingebaut.

Sie müssen lediglich den Zertifizierungsstellendienst auf einem Computer installieren und anschließend Ihr GPO aktualisieren, um die neue Zertifizierungsstelle wiederzugeben. Wie das geht, erfahren Sie unter Server Fault . Sie benötigen jedoch die Eingaben Ihrer IT-Mitarbeiter, um dies zu erreichen.

1
Mark Henderson