Назад | Перейти на главную страницу

Требуется ли для центра сертификации постоянный администратор?

На моем месте работы мы много лет катались без внутреннего центра сертификации. Это сработало для нас, потому что отсутствие доверенных лиц не имело видимых последствий. Однако теперь кажется, что эта тенденция быстро изменилась - большинство новых технологий теперь отказываются от мысли о проведении надежной связи с недоверяемым объектом.

К сожалению, я был первым, кто упомянул, что наша компания должна создать внутренний центр сертификации, поэтому я отвечаю за то, чтобы это произошло (несмотря на то, что понятия не имею, что делаю). Мой вопрос касается усилий, необходимых для создания и обслуживания центра сертификации. Кроме того, я хотел бы убедиться, что я прав, задавая этот вопрос о сбое сервера, а не о stackoverflow (это скорее зверь «группы серверов», чем зверь «разработчик программного обеспечения», верно?)

Мой главный вопрос: Обосновывает ли создание центра сертификации наем постоянного специалиста / штатного специалиста по обслуживанию центра сертификации? Или это зверь типа «поставил и забыл»?

Я инженер-программист по профессии, и я беспокоюсь, что моя карьера будет серьезно отклонена. Мой работодатель уже хочет использовать сертификаты для ВСЕГО (безопасность беспроводной сети, подпись кода, аутентификация сервера, подпись электронной почты, список можно продолжить ...)

Я должен беспокоиться? ПОМОГИТЕ!

Изменить - Дополнительная информация:

У моего работодателя по всему миру работает 2000-3000 человек. Мы - компания Microsoft.

Насколько мне известно, мы хотим использовать PKI для следующих целей:

Я делаю архитектуру PKI в качестве своей повседневной работы, ответ заключается в том, что это зависит от размера вашей организации, PKI, которую вы собираетесь внедрить, и от того, насколько хорошо настроена система и ваш внутренний мониторинг.

Если ваша организация большая, тогда будет много машин с сертификатами, срок действия этих сертификатов истечет, потребуется их замена и т. Д., Однако, по моему опыту, после развертывания сертификатов любой отказ машины для связи с другим будет обвинен в сертификатах еще до того, как выполняется самая основная диагностика. Я видел сертификаты, обвиняемые только в том, что сетевой кабель был отключен.

Результатом этого является то, что в любой крупной организации вы будете тратить много времени на то, чтобы помочь в решении этих болезненных вопросов.

Я также был бы обеспокоен тем, что, поскольку PKI является важной системой безопасности, вам действительно нужно понимать теорию и основы, чтобы иметь ценность, а не компрометировать ее.

Существует множество сложных описаний, но Шон Харрис хорошо это делает в своей книге CISSP или для более глубокого введения Брюса Шнайера «Основы криптографии» - хорошее место.

Может быть, вы могли бы дать нам некоторую информацию о PKI, Entrust, Microsoft и т. Д. И размере вашей организации?

CA действительно не нужен кто-то, кто бы нянчился с ним полный рабочий день. Конечно, важны хорошие документы и тому подобное, но они недостаточно сложны, чтобы нанять гуру. Если у вас нет реального представления о том, что вы делаете, наем кого-то, кто действительно знает, что они делают, может быть оправдан для настройки, но я не могу представить, что это займет больше пары дней чтобы действительно разобраться, независимо от того, для чего вы его используете.

Я тоже имею дело с много реализации PKI на $ job и добавлю, что вам не нужен постоянный администратор CA, пока вы ..

  • Прислушайтесь к совету Марка (+1) о культуре обвинения и понимании PKI, PKCS и т. Д.
  • Убедитесь, что у вас есть достаточно инструментов для управления этим с первого дня.

При наличии хороших утилит и базовой документации процесс выдачи и отзыва сертификатов должен быть достаточно простым для выполнения любым желающим. Чтобы восполнить этот пробел, нам пришлось провести внутреннюю разработку. Без него это вполне может стать административным кошмаром, а не техническим.