Iniciando a infraestrutura de certificado digital de uma empresa [fechada]

4

De que tipo de certificado digital eu preciso para iniciar uma infraestrutura de segurança digital na minha empresa e para uso por nossos clientes (pré-confiáveis por encadeamento)?

Acredito que preciso de algum tipo de certificado organizacional raiz que seja assinado por uma autoridade de certificação pública e forneça a capacidade de criar outros certificados dentro de minha organização para SSL e assinatura de código e para certificados de cliente e qualquer outra coisa . Espero que o encadeamento funcione para validar os clientes para o certificado organizacional emitido e para a autoridade de certificação pública.

Quando vou às principais CAs que conheço, não vejo nenhum produto disponível que, obviamente, atenda às minhas expectativas.

Gerei alguns certificados auto-assinados algumas vezes e comprei certificados SSL de domínio exato. Mas agora eu preciso de um plano maior.

Também estou ciente das opiniões / fatos de que o sistema de CA é defeituoso para que você não tenha que gastar muito tempo com isso em sua resposta.

    
por Jason Kleban 27.04.2014 / 15:27

2 respostas

8

Suas suposições estão erradas - nenhuma autoridade de certificação pública emitirá um certificado para usar como seu certificado raiz.

Você gera sua própria autoridade de certificado autoassinada e a distribui aos clientes para que eles confiem em você.

Então você usa isso para assinar seus certificados.

Todas as CAs públicas são auto-assinadas - elas estão incluídas no sistema operacional ou no navegador porque o fornecedor do SO decidiu que elas são confiáveis e as adicionou. Se eles emitirem um certificado de assinatura, você poderá usá-lo para criar um certificado perfeitamente válido para google.com ou microsoft.com. Isso seria ruim. A menos que você seja a NSA ou algo assim, eles não farão isso.

No Windows, a distribuição do certificado é feita virtualmente de forma automática por meio do diretório ativo em todos os computadores conectados ao domínio.

Se você deseja obter certificados confiáveis fora da sua rede, é necessário comprar certificados individuais ou curinga para cada domínio. A execução de sua própria autoridade de certificação geralmente é usada apenas dentro de sua própria rede. Pode funcionar externamente, mas você precisa garantir que as pessoas adicionem seu certificado raiz a seus certificados confiáveis.

    
por 28.04.2014 / 04:25
-4

Se a sua organização tiver apenas um domínio, você poderá obter um certificado curinga para esse domínio.

link

Isso permitirá que você use um certificado para todos os subdomínios.

Se você tiver vários domínios, precisará de um para cada um. Se você quiser ter vários domínios em um servidor que compartilha a porta ssl padrão, será necessário usar a indicação de nome do servidor (SNI) para exibir o certificado correto.

link

    
por 27.04.2014 / 15:46