Certificado público ou de domínio do WSUS

2

Depois de seguir este guia , não está claro quando se usaria um certificado público versus um certificado de domínio para o WSUS.

  1. Quais são as vantagens e desvantagens de um caminho versus o outro?
  2. Há alguma implicação de segurança de que você precise estar ciente?
por John 26.08.2013 / 17:16

2 respostas

4

A principal vantagem de um certificado público é que os hosts confiam automaticamente neles, enquanto os membros de um domínio interno confiam automaticamente em um certificado de domínio interno. No entanto, você ainda pode instalar manualmente o certificado assinado no domínio interno em computadores que não sejam do domínio e fazer com que eles confiem nele.

Outra limitação do certificado de domínio interno lida com seu conteúdo. Eles geralmente contêm pontos de distribuição da CRL que são atendidos por meio do LDAP do AD. Isso significa que os clientes só podem acessar o ponto de distribuição da CRL (CDP) se estiverem associados ao domínio interno e tiverem conectividade de rede para se comunicar com ele. Observe que você ainda pode adicionar um CDP publicamente acessível aos seus certificados, o que permitiria que qualquer pessoa o acessasse pela Internet. Se você fizesse isso, seria necessário veicular isso via HTTP em vez de LDAP. Naturalmente, você também seria responsável por hospedar essa CRL com segurança em um servidor da Web voltado para a Internet.

As implicações de segurança resumem-se ao seguinte:

  1. Você confia mais no certificado público do que em seu certificado interno?
  2. Existe uma chance maior de comprometimento da chave privada dos certificados de domínio internos em relação à do certificado público?
por 26.08.2013 / 18:22
1

Se você proteger suas conexões HTTPS usando um certificado assinado por uma autoridade de certificação pública (Internet), estará assumindo que todos os endpoints gerenciados têm acesso à Internet para realizar a verificação da Lista de Revogação de Certificados (CRL). Isso pode não ser o caso, e nesse caso eles provavelmente não conseguirão fazer o download das atualizações.

Acredito que a maioria de seus pontos de extremidade será vinculada ao domínio, pois essa é a configuração típica das implantações do WSUS, por exemplo, o WSUS configurado por meio da Diretiva de Grupo. Se este for o caso, um certificado assinado por uma CA da Intranet estará bem.

Ah, e não, não há implicações de licenciamento (de qualquer forma).

    
por 27.08.2013 / 22:14