Adicionando OCSP e NDES ao ambiente existente? O que pode ser instalado em conjunto?

Question

Adicionando OCSP e NDES ao ambiente existente? O que pode ser instalado em conjunto?

#1 resposta do (0 votos)

1

Atualmente, tem uma CA off-line e uma CA de subemissão que apenas têm o registro na Web instalado. Olhando também para implementar o NDES e o OCSP.

Sei que a inscrição na Web pode ser instalada na CA de emissão, mas qual é a melhor maneira de lidar com a implementação disso em termos do que pode ser instalado em conjunto ...

Devo desativar o registro na Web e instalá-lo em um servidor e OCSP em um dedicado?

Devo manter a inscrição no Iussuing para certificados manuais e ter mais dois servidores para o NDES e o OCSP ou o OCSP deve ser sempre independente?

CA- srv1, Issuing with Enroll srv2, NDES/OCSP- srv3

CA- srv1, Issuing- srv2, Web Enroll/NDES- srv3, OCSP- srv4

CA- srv1, Issuing- srv2, Web Enroll/NDES/OCSP- srv3

etc

Faz sentido o que estou tentando mostrar? É difícil encontrar algo que mostre quais funções podem ser instaladas juntas e o que deve ser sempre separado do ponto de vista das melhores práticas.

ocsp certificate-authority

por MikeS 30.08.2014 / 00:50

1 resposta

Tags ocsp certificate-authority

VM com 2 placas de rede configura a dependência de um módulo puppet

score 0 · Answer 1

Isso pode estar fora do tópico, porque é uma questão de planejamento de capacidade, mas a forma como você configura isso depende, em grande parte, da intensidade com que será usado. Como você planeja apenas ter uma única CA de emissão, provavelmente não será muito usada, espero. Você pode configurar tudo em uma única máquina, se quiser, para que esse tipo de resposta responda à sua pergunta. Mas você realmente quereria? Essa é uma questão diferente. Por que você quer configurar tudo em um único servidor? Por exemplo, o Respondente Online destina-se especialmente a dispositivos que não podem acessar a CA (onde o Ponto de Distribuição da CRL vive) para verificar a revogação do certificado ... por isso, não adianta colocá-lo no mesmo servidor. Ou se você tiver uma rede enorme e quiser distribuir a carga de verificação da CRL, mas desde que você tenha apenas uma única CA de emissão que seja duvidosa.