Posso restringir uma CA intermediária para assinar apenas certificados de cliente?

4

Eu quero usar o SCEP para fornecer certificados de clientes, provavelmente usando ADCS . Já temos uma autoridade de certificação raiz off-line interna em vigor (com segurança em um cofre, usado apenas para assinar e revogar autoridades de certificação intermediárias), e essa raiz é confiável para todos os clientes e servidores internos.

Para assinar os certificados do cliente, quero criar um intermediário que possa fazer apenas isso: assinar certificados de clientes. Especificamente, eu não quero que seja possível assinar certificados de servidor com este intermediário (a razão é que o intermediário por necessidade tem que estar em um sistema online, e eu quero limitar o possível dano no caso dele ser violado)

Isso é possível?

    
por Roel Harbers 31.03.2017 / 11:16

2 respostas

4

Se você criar a CA intermediária com apenas o certificado de autenticação EKU do cliente (1.3.6.1.5.5.7.3.2), mesmo que um modelo seja alterado para permitir que ele endosse os certificados de autenticação do servidor, eles falharão em um passeio em cadeia. / p>

No Windows, isso informaria um erro com o certificado folha / EE com status CERT_TRUST_IS_NOT_VALID_FOR_USAGE (ou, no .NET, X509ChainStatusFlags.NotValidForUsage ).

    
por 31.03.2017 / 16:16
1

Com CAs integradas ao AD, você pode especificar os modelos de certificado, que uma autoridade de certificação pode emitir. Então, sim você pode.

Mas observe: Os modelos de certificado são armazenados na Raiz da floresta. Assim, o administrador do Forest Root pode alterar os modelos de certificado disponíveis! O administrador de domínio ou o administrador local da subconta pode alterar os modelos fornecidos pela subconta. Assim, você também deve definir os direitos de acesso nos modelos de acordo.

    
por 31.03.2017 / 13:54