PKI infra-estrutura e pergunta de uso

2

Trabalho em uma pequena empresa de soluções de software (50 funcionários) e recentemente fui encarregado de experimentar serviços da web. Como oferecemos principalmente soluções para o Windows , comecei a brincar com o WCF 4 (.NET 4.0) da Microsoft. Basicamente, esses serviços da web acabariam sendo consumidos pelos nossos clientes através da internet. Também os usaríamos internamente por meio de nossa intranet.

Proteger esses serviços da Web é o que me faz perder agora. Eu quero usar um esquema que causaria menos sobrecarga em termos de suporte / manutenção. Basicamente, quero garantir que apenas os clientes "certificados" por nós (por exemplo, clientes que nos pagaram) possam consumir nossos serviços da Web.

A autenticação federada usando o Windows Identity Foundation (WIF) parece bastante interessante e tenho algumas amostras de trabalho que usam certificados autoassinados e serviços de autoatendimento (os serviços da Web e o STS). Estes seriam hospedados no IIS, eventualmente, se eu for com o esquema federado. Do jeito que eu entendo, o STS teria um certificado emitido por uma CA raiz. Os serviços da Web, bem como os clientes, também teriam certificados emitidos pela mesma autoridade de certificação raiz. Os clientes poderão, então, consumir os serviços da Web por meio de autenticação de certificado via STS.

Agora, minha pergunta é:

Não temos uma PKI na nossa empresa. Se tivéssemos uma CA (e tudo o que é necessário para uma PKI em funcionamento), os clientes fora de nosso domínio poderiam usar nossos serviços da Web com certificados emitidos por nossa CA? Aqui é onde ainda está lamacento para mim. Como isso funcionaria? Como os clientes solicitariam certificados? Eles poderiam adicionar nossa CA às CAs confiáveis? Como eles acessariam nossa CRL? Estou pensando no Windows Server 2008 R2 com os Serviços de Certificados do Active Directory.

Eu saí do curso aqui? Existe algo mais simples?

Obrigado

    
por BenjiZombie 01.10.2010 / 19:56

2 respostas

3

Você pode implantar sua própria PKI. Sua principal limitação será fazer com que todos os seus clientes instalem seu certificado de autoridade de certificação como um certificado de raiz confiável. Ou seja, fazer com que todos eles confiem quando você diz que um servidor é seguro, é (isso é uma declaração muito ampla, e a maioria dos departamentos de TI se oporá).

Caso contrário, o que você propõe funcionaria.

Posso sugerir que você procure usar o OpenID ou o Windows Live ID ou um serviço semelhante para lidar com a autenticação. Você pode apenas acompanhar a autorização (quais IDs são aceitos) e não precisa se preocupar em manter as senhas. A criptografia e o não-repúdio podem ser facilmente manipulados por SSL ou TLS básico e por um certificado barato de uma autoridade de certificação pública. Os Serviços de Federação funcionam muito bem para empresas strongmente parceiras, mas normalmente não são usados para relacionamentos casuais com clientes.

    
por 01.10.2010 / 20:21
0

O PKI é realmente projetado para comunicação segura em um canal inseguro. Eu não acho que o PKI funcionaria bem para limitar o acesso.

Eu realmente não sei nada sobre o WIF, mas imagino que os certificados PKI seriam mais para os clientes serem capazes de autenticar servidores, como é feito agora nos navegadores.

    
por 01.10.2010 / 20:10

Tags