Каковы плюсы и минусы развертывания внутреннего центра сертификации (в первую очередь ЦС Windows 2003)? У нас есть необходимость шифровать трафик сервер-сервер для проекта, имеющего более 20 сертификатов. Мы могли бы купить сертификаты у Verisign, но я думал, что внутренний центр сертификации может быть лучшим долгосрочным решением. Поэтому я хотел, чтобы сообщество предоставило список плюсов и минусов того, что мы можем получить (или потерять), разместив наш собственный центр сертификации? Заранее спасибо за помощь.
Если вы размещаете свой собственный ЦС, он будет действителен только на сайтах / компьютерах, на которых установлен корневой сертификат вашего ЦС. Другими словами, то, что у вас есть собственный ЦС, не означает, что вашим сертификатам будут доверять посторонние.
Если все ваши серверы являются внутренними, и доступ к ним осуществляется внутренним программным обеспечением, то ваш собственный центр сертификации - лучший вариант. Вы можете развернуть корневой сертификат ЦС с помощью объекта групповой политики (если вы находитесь в домене, установка роли ЦС на сервере должна делать это автоматически), и тогда каждая машина в вашем домене будет доверять ему автоматически.
Однако, если к вашему программному обеспечению обращаются публично (не похоже, что это так), то программное обеспечение на другом конце может очень хорошо выдавать предупреждения о сертификатах, в которых говорится, что оно не доверяет опубликованным вами. В этом случае единственный вариант, который у вас есть, - это приобрести сертификат SSL у надежного издателя (есть места, которые намного, намного дешевле, чем Verisign, если вам не нужны их страховые полисы).
Внутренний ЦС действителен только внутри серверов, которыми вы владеете, а внешний сертификат хорош везде. Это основной ответ, но нужно учесть гораздо больше.
Плюсы
Стоимость - стоимость сертификата тем дешевле, чем больше сертификатов вы создаете.
Отзыв - очень легко отозвать сгенерированный вами сертификат, и вы можете сократить срок действия сертификатов.
Доступ к бесплатным сертификатам обычно означает более широкое использование - обычно люди начинают подписывать свои электронные письма, а администраторы думают об использовании изоляции домена и сервера в смешанных средах.
Минусы
Дополнительные требования безопасности - этот компьютер, возможно, более важен для защиты, чем контроллер домена. Эту систему необходимо полностью укрепить. Если вы используете эти сертификаты для чего-то значимого, вам необходимо учитывать последствия, если эти сертификаты будут скомпрометированы.
Резервное копирование / высокая доступность. Ничто не говорит о плохих выходных, как если бы HR сообщал вам, что ваш теперь мертвый центр сертификации дал им сертификат, который они использовали для шифрования файлов платежных ведомостей, и теперь не могут расшифровать файлы, потому что сертификат не может быть проверен. Убедитесь, что он часто архивируется и доступен
Ответственность - в зависимости от того, что вы хотите использовать для некоторых из руководителей уровня C, может решить, что все деньги, которые они тратят на сертификаты VeriSign, являются пустой тратой, потому что они отлично использовали ваши сертификаты. Если ваши сертификаты скомпрометированы и это сертификат VeriSign (а я просто использую VeriSign в качестве заполнителя для любого стороннего центра сертификации), то это легко показать, что это не ваша вина. Если у вас есть CA ... что ж, вполне возможно, что ваш следующий опыт работы с ИТ может заключаться в использовании компьютеризированного кассового аппарата в ресторане быстрого питания по вашему выбору.
Невозможность использования внешнего сертификата. Сделать ваш CA общедоступным возможно, никто не будет доверять сертификату от вашей компании. Хотя это не имеет большого значения, но поддержание двух отдельных задач обслуживания сертификатов (время истечения срока действия и т. Д.) Немного больше. Вы также можете подумать о покупке доверенного корневого сертификата
О, и если вам нужны сертификаты EV - вы переходите на Windows 2008
Хотя может показаться, что минусов больше, многие из них - это просто вещи, о которых следует знать, а не истинный отрицательный показатель.
Для множества внутренних серверов вы можете создавать сертификаты по мере необходимости и устанавливать их гораздо быстрее, чем при использовании внешнего центра сертификации. Вам понадобится немного опыта. Такие инструменты, как tinyca, позволяют довольно легко создать центр сертификации. Для общедоступных серверов вам понадобятся сертификаты из внешнего источника.
Сертификаты для шифрования трафика часто создаются автоматически. Если вы разрешаете соединения только из вашего центра сертификации, вам не нужно беспокоиться о том, что кто-то получит сертификат из вашего внешнего центра сертификации и присоединится к вашей сети. В этом случае более безопасные решения могут быть более дешевыми.