Um CA requer um administrador em tempo integral?

Navegue suas respostas
7

No meu local de trabalho, patinamos ao longo dos anos sem ter uma autoridade de certificação interna. Isso funcionou para nós porque não houve impacto visível por não ter entidades confiáveis. No entanto, parece que agora essa tendência se reverteu rapidamente - a maioria das novas tecnologias agora hesitará em realizar uma comunicação confiável com uma entidade não confiável.

Infelizmente, eu fui a primeira pessoa a mencionar que nossa empresa deveria criar uma CA interna, então estou encarregado de fazer isso acontecer (apesar de não ter ideia do que estou fazendo). Minha pergunta relaciona o esforço necessário para configurar e manter uma CA. Além disso, gostaria de verificar se estou correto em escolher fazer essa pergunta no serverfault, em vez de stackoverflow (isso é mais uma besta de "grupo de servidores" do que uma besta de "desenvolvedor de software", certo?)

Minha pergunta principal : A configuração de uma CA garante a contratação de um especialista / temporizador residente dedicado à manutenção da CA? Ou é um tipo de besta "esquecer e esquecer"?

Sou engenheiro de software pelo comércio e estou preocupado que minha carreira seja seriamente prejudicada. Meu empregador já quer usar certificados para TUDO (segurança sem fio, assinatura de código, autenticação de servidor, assinatura de e-mail, a lista continua ...)

Eu deveria estar preocupado? AJUDA!

Editar - Informações adicionais:

Meu empregador emprega 2000-3000, internacionalmente. Somos uma empresa baseada na Microsoft.

Tanto quanto sei, queremos utilizar a PKI para o seguinte:

  • Assinando e-mails.
  • Assinatura de documentos (Word, PDF, etc.).
  • Código de assinatura (ClickOnce).
  • Tornamos nossos servidores confiáveis (para sessões RDP, serviços de terminal).
  • https internos.
  • Segurança / autenticação sem fio.
por James Jones 23.10.2009 / 05:15

3 respostas

5

Eu faço arquitetura PKI como meu trabalho diário, a resposta é que isso depende do tamanho da sua organização, da PKI que você pretende implementar e de como o sistema e o monitoramento interno estão configurados.

Se sua organização for grande, haverá muitas máquinas com certificados, esses certificados expirarão, precisarão ser substituídos, etc. No entanto, minha experiência é quando você implanta os certificados e qualquer falha de uma máquina para se comunicar com outra é atribuída à antes mesmo dos diagnósticos mais básicos. Eu vi certs culpou apenas para encontrar o cabo de rede desconectado.

O resultado disso é que, em qualquer organização de grande porte, você passará muito tempo sendo convocado para ajudar nesses problemas.

Eu também me preocupo que, como a PKI é um sistema de segurança importante, você realmente precisa entender a teoria e o básico para fazer ou não valorizar e não comprometer isso.

Há muitas descrições complexas, mas Shon Harris faz isso bem em seu livro CISSP ou para uma introdução mais aprofundada. Fundamentos de criptografia de Bruce Schneier é um bom lugar

Talvez você possa nos dar algumas informações sobre a PKI, a Microsoft, o Microsoft etc e o tamanho da sua organização?

    
por 23.10.2009 / 09:39
4

Uma AC realmente não precisa de alguém para cuidar dela em tempo integral. Naturalmente, bons documentos e tais são importantes, mas eles não são complicados o suficiente para contratar um Guru. Se você não tem uma ideia real sobre o que está fazendo, contratar alguém que realmente saiba o que fazer pode ser necessário para configurá-lo, mas não consigo imaginar que levaria mais do que alguns dias. para realmente resolver isso, independentemente do que você está usando.

    
por 23.10.2009 / 05:21
0

Eu também lidei com um lote de implementação de PKI em $ job e adicionaria que você não precisa de um administrador de CA em tempo integral contanto que você ...

  • Preste atenção ao conselho de Marcos (+1) sobre cultura de culpa e compreensão de PKI, PKCS, etc.
  • Verifique se você tem as ferramentas suficientes para gerenciá-lo desde o primeiro dia.

Com alguns bons utilitários e documentação básica, o processo de emissão e revogação de certificados deve ser simples o suficiente para qualquer pessoa realizar. Tivemos que empreender algum desenvolvimento interno para preencher essa lacuna. Sem, pode muito bem tornar-se um pesadelo administrativo, não técnico.

    
por 23.10.2009 / 10:28

Tags

Substituir shell LDAP Sistemas de arquivos distribuídos