Assinatura interna de código: distribuição de chaves ou servidor de certificado?

Navegue suas respostas
1

Primeiramente, devo observar que não temos ninguém em TI com familiaridade significativa com a certificação auto-assinada. Temos uma rede moderadamente extensa (uma floresta, muitos locais) e agora estamos implementando a assinatura interna de código; até agora os usuários executavam código não confiável, ou até mesmo desativamos (!) os avisos. Os aplicativos, scripts e sites da Intranet agora serão assinados com autocertificação.

Estou ciente de duas formas óbvias de implantar isso: Distribuindo as chaves diretamente por meio de uma política de grupo e configurando um servidor de certificados. Alguém pode explicar os trade-offs entre esses dois métodos? Quantos certs antes do método de política de grupo são complicados? Eles são grandes o suficiente para que os usuários remotos tenham problemas? O método de política de grupo distribui duplicados em cada login? Existe um método melhor que eu não conheço?

Eu posso encontrar muita documentação sobre certificações e várias maneiras de criá-las, mas não consegui encontrar algo que sumarize a diferença entre os métodos de distribuição e quais critérios tornam um ou outro superior.

    
por Myrddin Emrys 24.05.2012 / 21:05

2 respostas

2

Você está em uma situação difícil - geralmente é útil ter / consultar alguém com experiência em PKI, porque é fácil estragar as coisas muito tempo. Com isso dito, existem alguns recursos disponíveis para consumo público e o MS melhorou o ADCS desde os dias do Server 2000.

Para aproveitar os certificados de assinatura de código, você precisará de uma infraestrutura de CA, separada da distribuição de certificados / chaves. Sem um servidor de certificados (hospedado ou seu próprio), não há chaves para distribuir. Eu estou supondo que você está comparando um serviço hospedado contra o seu próprio.

Eu recomendaria ver soluções hospedadas / gerenciadas se sua organização não tiver as habilidades / conhecimentos necessários para criar suas próprias soluções. Isso é especialmente importante se você planeja assinar um código que será distribuído para o público. Empresas como a Symantec (proprietária da Verisign, Thawte e GeoTrust), Entrust, Comodo, GoDaddy, DigiCert e qualquer outra autoridade de certificação pública (CA) oferecerão certificados de assinatura de código por uma taxa anual. O benefício é que você só precisa descobrir onde colocá-lo e quantos certificados de assinatura de código você precisa. Os custos serão um pouco mais altos do que você mesmo, mas se você pretende distribuir o código público, essa é a melhor opção. Se qualquer coisa, eu recomendo olhar produtos da Verisign, porque eles têm a maior compatibilidade com keystores legados. CAs mais recentes podem suportar 99% dos modernos navegadores, mas podem não funcionar bem com versões mais antigas ou com diferentes keystores - JKS, por exemplo.

Se o código for para uso interno e o custo de uma CA gerenciada for muito alto, você poderá implementar sua própria infraestrutura. Isso inclui a configuração de uma CA (ADCS, baseada em OpenSSL, RSA, Entrust) e a construção do canal de distribuição. A Diretiva de Grupo simplifica a distribuição dos certificados da CA, bem como do certificado. Brian Komar publicou alguns livros sobre os Serviços de Certificados da Microsoft. Komar oferece uma cobertura abrangente sobre o assunto, então eu recomendo que alguém obtenha uma cópia antes de começar a configurar sua própria infraestrutura de CA.

HTH

    
por 24.05.2012 / 21:48
0

Se você está simplesmente precisando de informações de assinatura de código, eu trabalho com Bruce e ele montou uma série sobre esse assunto. link

Se você precisar de uma implantação completa da PKI, há opções para serviços gerenciados e no local. Eu vou dizer que trabalhando para a Entrust ficaríamos felizes em ajudar onde pudermos, mas no mínimo eu queria compartilhar os blogs de assinatura do código de Bruce que podem ajudar na coleta de informações.

Boa sorte

    
por 21.06.2012 / 16:32

Tags

Balanceamento de carga de ISPs no Ubuntu Server Como posso usar um circuito de internet de backup para serviços / aplicativos de entrada?