Windows PKI com raiz offline (talvez com OpenSSL) - Possível?

4

Estou tentando configurar uma PKI de duas camadas e tenho uma tonelada de perguntas. Como há o limite para o AD, presumo que a raiz (que estará offline) não faça parte do AD. Estou correto?

A configuração que eu estava considerando era uma CA raiz e vários intermediários (para finalidades diferentes). Assim, a raiz pode ser um padrão independente do Windows ou Linux + OpenSSL (não sei se isso é possível / aconselhável). Uma das CAs intermediárias é para fazer parte da AD (inscrição automática e tal).

Então, minhas perguntas são:

A raiz pode ser autônoma (não faz parte do AD)? Isso causará algum problema na cadeia de certificados ou algo parecido?

A raiz pode ser Linux + OpenSSL? Isso será mais difícil de gerenciar?

Ou há uma solução alternativa para o limite da marca de exclusão?

Obrigado.

Veja: link e link para referências.

    
por rebasing 02.05.2013 / 17:25

2 respostas

3

A Microsoft especifica que a máquina de CA raiz off-line não deve ser membro de um domínio , por isso não causará nenhum problema, e isso fará com que todo o problema dos problemas de vida útil da marca de exclusão do AD seja discutível. A saber:

Set up a server that runs Windows that you will use for the root certification authority. The server should not be a member of any domain, should be disconnected from the network, and should be physically secure.

Eu não tentei testes extensivos de interoperabilidade com o OpenSSL e o Windows CA, mas, em princípio, ele deve funcionar bem - é tudo uma PKI baseada em padrões. Certamente, assinei certs para servidores Windows usando o OpenSSL muitas, muitas vezes sem efeitos negativos. Contanto que você esteja confortável usando as ferramentas OpenSSL para emitir os certificados para suas CAs de segunda camada, isso não causará problemas específicos de gerenciamento.

Não vejo nenhum valor especial na implantação da CA raiz usando um conjunto de ferramentas e o (s) intermediário (s) em outra. Você certamente pode, mas eu não vejo como isso "compra" nada para você.

    
por 02.05.2013 / 17:33
3

I'm trying to setup a two-tier PKI and I have a ton of questions. Since there's the tombstone limit for the AD, I'm assuming that the root (which will be offline) shouldn't be part of the AD. Am I correct?

Correto. Sua CA raiz offline será um computador do grupo de trabalho. Você só irá ativá-lo para fins de renovação dos certificados de CA de emissão e publicação de CRLs. Você normalmente distribuirá a chave / certificado público da raiz a todos os clientes por meio de GPO.

The setup I was considering was one Root CA and multiple intermediates (for different purposes). So, the root could be a standalone windows standard or Linux + OpenSSL (don't know if this is possible/advisable). One of the intermediate CAs is to be part of the AD (auto-enrollment and such).

Eu não tentaria misturar e combinar o Windows e o Linux em um único PKI. Não há nenhum benefício a ser obtido com isso, e você apenas torna o gerenciamento da PKI mais complexo.

    
por 02.05.2013 / 17:33