Ich muss meine eigene Zertifizierungsstelle für ein Intranet erstellen, und leider scheint es auf Security.SE keine gute Antwort darauf zu geben.
Es gibt viele Online-Ressourcen dazu, aber alle sind unterschiedlich und Einige verwenden veraltete Standardeinstellungen (MD5 / SHA1 usw.), die nicht so vertrauenswürdig erscheinen. Es gibt auch Hunderte verschiedener Variationen von openssl.cnf
, die von einer 10-zeiligen Datei bis zu der riesigen reichen, die standardmäßig mit meiner Distribution geliefert wurde.
Ich hätte gerne eine Kanonik Antwort zum Einrichten einer einfachen Zertifizierungsstelle für die Ausstellung von Server- und Clientzertifikaten.
Anscheinend scheinen einige Leute immer noch nicht zu verstehen, dass ich kein großes Unternehmen bin, in dem eine Zertifizierungsstelle vorhanden ist Kompromisse verursachen Verluste im Wert von Milliarden und können nicht einfach gemindert werden. Lassen Sie mich daher etwas besser erklären, warum ich die Zertifizierungsstelle benötige:
-
Mehrere Server, die über unsichere Verbindungen (das Internet) verbunden sind, benötigen um sicher zu kommunizieren.
-
Ich muss mich bei diesen Servern identifizieren können, um administrative Aufgaben ausführen zu können, ohne alle 10 Sekunden zu meinem Passwort-Manager wechseln zu müssen.
-
keine anderen Zertifizierungsstellen als meine sollten in der Lage sein, sich als einer der Server auszugeben, egal wie unwahrscheinlich ( aber möglich) dies ist ist.
Dort. Meine eigene PKI und ein auf jedem Computer installiertes Zertifikat scheinen den Anforderungen perfekt zu entsprechen. Eine der von mir verwendeten Software erfordert auch die Verwendung einer PKI, sodass die Verwendung von selbstsignierten Zertifikaten keine Option ist.
Um die PKI zu gefährden, müsste jemand meine Arbeitsmaschine kompromittieren, und wenn dies der Fall ist Dann kann der Angreifer bereits einiges an Schaden anrichten, ohne die PKI zu berühren (da ich mich sowieso von diesem Computer aus über SSH beim Server anmelden würde). Das ist ein Risiko, das ich eingehen möchte, und diese PKI erhöht nicht das Risiko, das es bereits gibt.