Gerando certificados TLS da máquina no software

Navegue suas respostas
0

Estou trabalhando com uma solução de software distribuída onde as máquinas podem se comunicar pela Internet. Automaticamente, para dados confidenciais, isso significa que você precisa criptografar o tráfego. Usando uma ferramenta pública, como gnutls ou openssl, você pode gerar certificados CA e de máquina para criptografar o tráfego. Acredito (pode estar errado) que, se você criar esses CAs e certificados com parâmetros adequados para segurança, isso seria tecnicamente aceitável para proteger com segurança todo o tráfego de comunicação.

Eu sei que é prática comum e importante ter certificados assinados por uma autoridade confiável (algumas empresas como verisign, digicert). Para criar um servidor da Web ou algum aplicativo independente, isso geralmente é suficiente. A minha pergunta é, em um ambiente distribuído onde há 'n' máquinas (n poderia estar na casa das centenas) é aceitável gerar uma CA para as n máquinas, ter essa CA assinada por uma autoridade confiável e gerar certificados TLS para cada uma das n máquinas que são assinadas pela CA gerada?

Eu entendo que o CA trust tem uma espécie de efeito trickle down, e acho que essa metodologia é sólida, mas estou interessada em feedback.

    
por kris 08.01.2016 / 00:14

1 resposta

0

Se você estiver usando uma CA interna, então sim, está tudo bem; você está criando uma CA intermediária. Você pode precisar incluir a CA intermediária em suas cadeias de certificados, e sua CA raiz interna precisa ser confiável para todos os seus dispositivos internos (implantar por meio da Diretiva de Grupo ou qualquer ferramenta que você use).

Se você estiver usando uma autoridade de certificação externa, não, isso não acontecerá, pois isso quebraria completamente o modelo de confiança da CA existente.

    
por 21.02.2016 / 05:53

Tags

Problema de laptop (wifi e mouse) Desinstalar o SonicWALL GVC