Como posso configurar o apache2 para usar um certificado SSL não exportável gerenciado pelo windows?

1

No Windows Server 2008 R2, meu administrador de TI instalou um certificado usando a ferramenta de gerenciamento de certificados do Windows. O certificado é para * .thedomain.com. Ele configurou-o como não exportável por motivos de segurança: não tenho a intenção de colocar minhas mãos no certificado.

Esta configuração permitiria que eu usasse o certificado com os produtos da microsoft, mas não para ir embora com o certificado.

P: Existe uma maneira de configurar o Apache 2 para usar este certificado "the windows way"?

    
por Samuel Rossille 18.10.2013 / 16:16

1 resposta

2

O Apache usa o OpenSSL para gerenciar segurança SSL / TLS, bem como para gerenciar certificados, e o OpenSSL não usa o armazenamento de certificados do Windows, portanto, não há uma maneira fácil de implementar o que você solicita.

Assim, no seu caso, a solução mais simples seria descarregar a criptografia SSL em um proxy reverso que usa a loja do Windows (você pode use IIS e ARR para isso. Não é trivial, mas não é muito complexo também).

No entanto , não tenho certeza se essa seria a solução adequada para adotar do ponto de vista de arquitetura e segurança.

Faz muito sentido para o seu administrador desejar restringir o acesso à chave privada vinculada ao seu certificado curinga de domínio. Entretanto, faz muito menos sentido instalá-lo da maneira que ele faz: a menos que ele não tenha dado direitos de administrador nesse servidor, você ainda será capaz de recuperar os dados do certificado da máquina se colocar a mente em questão. isso.

Assim, a melhor solução, do meu ponto de vista, seria configurar um sistema separado dedicado a executar a terminação SSL (ou seja, um proxy HTTP reverso ativado por SSL) em um sistema que ele controla. Você pode configurar seu servidor Apache como um servidor HTTP simples e o proxy cuidará da criptografia.

Se seus requisitos ou políticas não permitirem tráfego de rede de texto não criptografado entre seu proxy e seu servidor da Web, você poderá configurar um certificado SSL autoassinado para seu sistema apache e ter a confiança inversa dele (na verdade, qualquer certificado x509 fará isso : se você tem uma CA interna, ela também pode ser usada).

Desta forma, você está mantendo as responsabilidades de todos devidamente segregados.

    
por 18.10.2013 / 16:43