como criar uma cadeia de certificados SSL da minha própria CA?

4

Eu uso minha própria CA para criar certificados SSL para serviços na minha infra. Esses certificados são assinados diretamente pela minha CA.

Vem a mim que essa é provavelmente uma estratégia fraca, como se o certificado fosse comprometido, preciso criar novos a partir de uma CA. Se a CA for comprometida, o jogo será feito, pois todos os serviços precisarão ser atualizados.

Então, meu entendimento é que a maneira típica de 'proteger' a si mesmo e 'diluir' a preocupação é criar uma cadeia de certificados e assinar os certificados de serviço com o fim da cadeia, de modo que se o assinante for comprometido, o próximo nível pode ser usado para criar um novo certificado de assinatura.

Eu entendi direito?

O que eu gostaria de fazer é criar minha própria cadeia de certificados.

Todo o material TLS / SSL ainda é um pouco nebuloso para mim, mas, como posso ver, primeiro crie uma chave mestra, com openssl genrsa , em seguida, crie um certificado autoassinado usando essa chave com openssl req -x509 -new para criar a CA.

Em seguida, posso criar novas chaves e solicitações de assinatura de certificado com openssl req -new -key' and sign the request with my CA with openssl x509 -req -CA ca.pem ... '

Então, para criar uma cadeia de certificados, o que é suposto fazer?

Eu simplesmente crio uma nova chave, uma nova solicitação de assinatura e a assino com o último certificado assinado em vez da CA? E assim por diante, até que eu tenha níveis suficientes de proteção, assine todos os pares de certificados / chaves com o certificado de nível mais baixo?

Esse material é confuso e eu gostaria de acertar; -)

Tudo o que eu encontro apenas sobre o TLS é extremamente complicado, enquanto os tutoriais 'simples' são obscuros. Eu estou olhando através das páginas de manual do openssl, mas eu gostaria de obter uma explicação simples do processo, então vou me certificar de cada passo certo.

Obrigado pela sua visão.

    
por MrE 11.12.2015 / 19:34

2 respostas

5

Você assina uma solicitação de CA intermediária com a CA raiz. Com essa autoridade de certificação de assinatura, a autoridade de certificação raiz pode permanecer offline.

A CA raiz ainda pode ser confiável e emitir CAs de assinatura de substituição, se necessário. O desafio, então, torna-se a emissão de revogações de certificados, especialmente se você não controlar todos os clientes.

O processo é um pouco complicado se você o fizer manualmente. Veja link para um guia.

    
por 13.12.2015 / 00:14
-1

Parece um monte de problemas, quando o Let's Encrypt está agora em Public Beta ...

link

    
por 11.12.2015 / 19:51