Geração de certificado: raiz ca necessária a cada vez?

Question

Geração de certificado: raiz ca necessária a cada vez?

#1 resposta do (3 votos)

2

Eu quero criar um certificado diferente (exclusivo), auto-assinado, para distribuir para alguns clientes. Dessa forma eu acho que se alguém está condenado, eu só tenho que excluir o certificado dele sem incomodar os outros

Eu segui este artigo legal: link

Agora, parece que sou obrigado a criar um certificado raiz toda vez que quero gerar um certificado exclusivo para um cliente diferente.

Eu sou realmente obrigado a criar uma CA raiz única + assinar um certificado certificado todas as vezes?

Não há um caminho mais fácil? (como evitar recriar a raiz ca toda vez?)

certificate ssl-certificate deployment

por Hazgu 08.01.2014 / 17:33

1 resposta

Tags certificate ssl-certificate deployment

Git github não funciona com o google authenticator OSX Estime se a taxa de transferência da rede for atingida

score 3 · Answer 1

Você provavelmente deve fazer algumas pesquisas sobre como uma PKI é normalmente implantada para algum plano de fundo.

O documento vinculado passa pela criação de sua própria autoridade de certificação raiz (CA). Depois de fazer isso, você usará essa CA para assinar e inscrever certificados para dispositivos individuais (ou assinar um certificado para uma CA intermediária - provavelmente além do escopo de suas necessidades).

Você não quer uma proliferação de raízes CA. Você normalmente criaria uma raiz e a usaria para assinar certificados para dispositivos.

O fluxo de trabalho geral, após você ter implantado a raiz da CA, é:

Criar par de chaves pública / privada no host que precisa de certificado
Criar solicitação de assinatura de certificado (CSR) no host que precisa de um certificado
Envie o CSR para a raiz da CA para assinar
Pegue o certificado que a raiz da CA retorna e instale-o no dispositivo ou host

Esse documento que você vinculou descreve Criando uma solicitação de assinatura de certificado , mas realmente não Descrever que este é um processo que você normalmente faria do dispositivo / host solicitando o certificado.

Você pode criar pares de chaves públicas / privadas e CSRs fora do dispositivo / host, mas a maneira mais segura de fazê-lo é no próprio dispositivo / host porque a chave privada nunca sai do dispositivo.

De um cliente OpenSSL, por exemplo, aqui está como eu prepararia uma solicitação de assinatura de certificado (CSR) para uma chave RSA de 4096 bits:

openssl req -out Signing_Request.csr -new -newkey rsa:4096 -nodes -keyout private.key

Em um servidor Web IIS, eu usaria o "Assistente" de GUI interno para preparar um novo CSR. Outro software terá diferentes métodos de preparação do CSR.

Depois que eu tiver o CSR, enviarei para a CA e, como esse documento vinculado a você descreve na Assinatura de um certificado , eu teria a CA assinando a solicitação e instalando o certificado resultante no dispositivo / host solicitante.

Como um aparte: Você normalmente distribuirá seu certificado de CA em toda a empresa para que os clientes possam verificar as assinaturas que sua CA está colocando em certificados e evitar avisos sobre os certificados provenientes de uma autoridade de certificação não confiável.