Distribuição e gerenciamento de certificados

3

Estou planejando configurar a PKI para nossa organização, pois estamos cansados de todos esses avisos de segurança ao usar certificados autoassinados. Eu quero uma CA raiz offline e duas CAs emissoras e quero configurá-la nos sistemas Linux.

Como posso distribuir facilmente certificados raiz e de identidade (servidor) para usuários finais sem explicar a cada um deles como instalá-los no navegador?

O Active Directory faz isso por meio do GPO, por exemplo? Em caso afirmativo, suporta apenas o Internet Explorer? Posso fazer isso sem ter que instalar o AD CS?

Além disso, gostaria de saber se existe uma interface para CA (GUI / web) de algum tipo em que os administradores de servidores possam fazer login e solicitar certificados para suas necessidades?

Espero que isso faça algum sentido, já que sou muito novo no PKI :) Sinto muito, se está em toda parte na Internet e eu sou péssimo no Google'ing, mas eu realmente não consigo encontrar o que eu preciso ...

    
por Alex 08.08.2014 / 07:44

2 respostas

5

Sim, você pode implantar as CAs raiz e intermediárias em armazenamentos confiáveis do Windows a partir do AD. Pelo menos os navegadores IE e Chrome vão buscá-lo de lá, já que usam o que vem com o Windows. No Firefox, você precisará que os usuários importem os certificados ou encontrem uma maneira de fazer o script.

Graças a @Aceth, aqui está uma conclusão para a resposta:

Edito a política de domínio padrão no console de gerenciamento de políticas de grupo. Em seguida, em Configuração do Computador / Políticas / Configurações de Segurança / Políticas de Chave Pública / Autoridades de Certificação Raiz Confiáveis

Clique com o botão direito do mouse e importe seus certificados raiz e intermediário.

    
por 08.08.2014 / 08:12
2

Só para elaborar mais sobre a resposta de Florin ...

Edito a política de domínio padrão no console de gerenciamento de políticas de grupo. Em seguida, em Configuração do Computador / Políticas / Configurações de Segurança / Políticas de Chave Pública / Autoridades de Certificação Raiz Confiáveis

Clique com o botão direito do mouse e importe seus certificados raiz e intermediário.

    
por 08.08.2014 / 11:33