Uma única instância do ADCS pode conter mais de um namespace de PKI?

2

Eu quero salvar a licença do sistema operacional, simplificar as renovações de CRL e ter mais de uma instância de certificado em um determinado servidor.

Para mim, isso faz sentido do ponto de vista da segurança, porque eu tenho:

  • Uma CA que age como a raiz, que precisa publicar & renove CRLs para servidores de políticas (próximo ponto)

  • Existem muitos, muitos servidores de Políticas (2ª camada) que são restringidos por restrições de Nome ou usos de EKU. Da mesma forma, esses também precisam publicar muitos CRLs e registros AIA.

  • Atualmente, estimamos uma necessidade de 10.000 a 50.000 servidores de políticas. Cada servidor de políticas terá uma CRL armazenada no armazenamento de blobs do Azure, com um contêiner dedicado para cada servidor para escalabilidade de E / S.

Com base na saída do certutil -ping (ou seja, o parâmetro config), parece que posso ter mais de uma configuração por instância do ADCS.

Além disso, vários outros parâmetros do Certutil (e a API correspondente) me permitem especificar a "instância" à qual desejo me conectar.

/// --- NOTE: The ability to specify an individual config seems to indicate multiple PKIs are possible per box:
PS C:\Windows\system32\CertSrv\en-US> certutil -ping -config "a.Issue01.bitclear.us\Secure Issuer 01a-001"
Connecting to a.Issue01.bitclear.us\Secure Issuer 01a-001 ...
Server "Secure Issuer 01a-001" ICertRequest2 interface is alive (0ms)
CertUtil: -ping command completed successfully.

 /// --- NOTE "Entry 0" implies that more entries are possible
PS C:\Windows\system32\CertSrv\en-US> certutil -v
Entry 0: (Local)
  Name:                         'Secure Issuer 01a-001'
  Organizational Unit:          'Email Privacy'
  Organization:                 'Bitclear LLC'
  Locality:                     ''
  State:                        ''
  Country/region:               'us'
  Config:                       'a.Issue01.bitclear.us\Secure Issuer 01a-001'
  Exchange Certificate:         ''
  Signature Certificate:        'a.Issue01.bitclear.us_Secure Issuer 01a-001.crt'
  Description:                  ''
  Server:                       'a.Issue01.bitclear.us'
  Authority:                    'Secure Issuer 01a-001'
  Sanitized Name:               'Secure Issuer 01a-001'
  Short Name:                   'Secure Issuer 01a-001'
  Sanitized Short Name:         'Secure Issuer 01a-001'
  Flags:                        '13'
  Web Enrollment Servers:
1
4
0
https://a.issue01.bitclear.us/Secure%20Issuer%2001a-001_CES_UsernamePassword/service.svc/CES
0
CertUtil: -dump command completed successfully.

É possível hospedar mais de um PKI por host ADCS? Como isso seria feito?

Além disso, lembro-me de haver discussões que podem ser possíveis no passado, mas não tenho certeza se elas foram implementadas.

Todo:

Testarei essa teoria com um CertFile personalizado e um novo nome quando executar o comando

certutil -installcert [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [CACertFile]

É possível que isso também esteja de alguma forma relacionado a "PolicyServers" e "EnrollmentServers" pode ser conectado com este comando. A capacidade de separá-los da instância principal do ADCS é muito interessante e a nota é realmente documentada.

    
por random65537 19.06.2014 / 04:29

2 respostas

1

Meu entendimento é que você só pode ter uma instância do ADCS por host e até 3 CAs na floresta do AD. O "\ CA Name" é mais sobre o nome da sua Árvore PKI e não deve ser confundido com instâncias do tipo \ INST1 vistas na Configuração do MSSQL, que é o que eu acho que você pode estar pensando.

Seria uma boa prática manter suas CAs separadas, pois, se todas estivessem em um host, o host deve ser comprometido. Todas as CAs do host estão comprometidas.

Se você tivesse várias árvores PKI na sua floresta, você veria várias entradas do certutil.

Há a capacidade de dissociar o servidor da Diretiva de registro usando o Servidor de registro de políticas da Web - útil para ambientes DMZ em que você precisa emitir certificados externamente.

    
por 26.06.2014 / 03:24
0

Não é tecnicamente possível ter mais de uma hierarquia de PKI em um servidor e é uma má idéia do ponto de vista da segurança, como foi mencionado (ponto único de falha). O papel do ADCS vincula-se à identidade do servidor no AD, de forma que a única maneira de alterar o DN da hierarquia seria extorquir o papel e começar de novo.

No que diz respeito às licenças, não acredito que a CA raiz off-line precise ser algo especial. Você poderia tecnicamente gerar o material de chave em um host Linux e publicá-lo no AD a partir da sua CA de emissão da empresa, contanto que o ponto de extremidade CRL e AIA correspondesse.

    
por 08.07.2014 / 08:40