Certificado curinga para autoridade de certificação SSL local?

3

Parece que isso deve funcionar, mas a PKI é complicada e gostaria de perguntar às pessoas que podem dar uma resposta autoritária.

ANTECEDENTES :

Eu sou engenheiro de rede para uma empresa; por causa do argumento, vamos chamar nosso domínio thatcompany.com .

Eu autentico alguns serviços sem fio BYOD por meio de Cisco ISE (apenas um servidor RADIUS sofisticado) e configurou-o com um certificado SSL de teste de Comodo de 90 dias com este campo SAN Nota 1 :

  • DNS:radius01.thatcompany.com
  • DNS:radius02.thatcompany.com
  • IP:192.0.2.1 (mapas reversos para radius01.thatcompany.com)
  • IP:192.0.2.2 (mapas reversos para radius02.thatcompany.com)

Se a vida fosse simples, eu apenas compraria o certificado SSL correspondente e terminaria com ele. No entanto ...

  • Eu preciso de um certificado curinga Nota 2 ; esses são aproximadamente 50% mais caros que um certificado normal (o Comodo chama isso de certificado Unified Communications).
  • Já que estamos gastando muito, meu chefe quer reutilizar qualquer certificado que eu comprar para encadear confiança de volta à Comodo para uma autoridade de certificação raiz local local do Windows AD, que ainda está por ser construída. Suponha que o nome DNS desse servidor seja pki01.thatcompany.com.

O problema é que eu já dei à Comodo a CSR , e que CSR não possui pki01.thatcompany.com na SAN. A decisão de se comprometer com uma autoridade de certificação raiz local foi tomada depois que implantei o Cisco ISE servidor, e eu gostaria de entender se vale a pena entrar em contato com o Comodo para fazê-los emitir o certificado UC contra uma atualização CSR .

PERGUNTA :

Se eu comprar o certificado curinga Comodo Unified Communications mencionado acima, há algum bom motivo para colocar a futura raiz local do Windows AD do CA DNS e IP no SAN do certificado UC? Existe algum outro motivo para não podermos reutilizar este certificado curinga Comodo UC para criar uma CA raiz local do Windows?

Notas

Nota 1 :  A Cisco recomenda que você coloque o nome IP e DNS explícito do servidor RADIUS no campo SAN.

Nota 2 :  A Cisco recomenda que você pague por um certificado curinga (isto é, coloque DNS:*.thatcompany.com na SAN ) porque alguns suplicantes do EAP estão quebrados ( ref. vídeo CiscoLive BRKSEC-3698 de Aaron Woland). No entanto, o Comodo não emitirá certificados curingas de teste.

    
por Mike Pennington 08.12.2014 / 23:56

1 resposta

5

re-use whatever cert I buy to chain trust back to Comodo for a local thatcompany.com Windows AD local root CA, which is yet to be built...

... Is there any other reason that we couldn't reuse this Comodo UC Wildcard Certificate to build a Windows local root CA?

Isso não é possível - um certificado de entidade final emitido para você conterá propriedades "Restrições básicas" que impedirão que ele seja usado como, efetivamente, uma autoridade de certificação intermediária.

Então, você precisa ir direto para o local (criar uma raiz local, emitir um certificado para o RADIUS e fazer com que todos os dispositivos confiem nela) ou manter a compra de todos os certificados necessários de um público autoridade cert como Comodo.

A CA local torna a opção de caractere curinga mais palatável, já que não há custo extra para emitir uma delas do seu próprio sistema, mas eu diria provavelmente testar com seu certificado de avaliação para determinar se você precisa se preocupar sobre compatibilidade com clientes EAP quebrados.

    
por 09.12.2014 / 00:04