¿Por qué el uso de un certificado, realizado con la herramienta MakeCert, en la producción de malo?
https://stackoverflow.com/questions/527768
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Actualmente estoy trabajando en un proyecto en el que he creado una CA cert y un par de niño apunta a que el CA cert.Los certificados van a ser utilizados para proteger la comunicación entre servidores en un SAMLV2 de instalación, así que voy a tener un cert para el proveedor de identidad y un certificado para el proveedor de servicio.El usuario/navegador no va a validar los certificados por lo que sólo los servidores de los que necesitan confiar en mi costumbre de CA.Mi cert árbol se ve algo como esto:
- CustomRootCACert
- CustomIdentityProviderCert
- CustomServiceProviderCert
Ahora, he oído un montón de gente diciendo que es malo para el uso hecho en casa, certificado en producción.Pero cuando me pregunte por qué, la gente normalmente sólo mutters y una serie de algo acerca de la seguridad, pero nunca ir a los detalles.Hay razones técnicas para no usar mi propio certs en la producción?Yo no puedo pensar en ninguna...Por supuesto me doy cuenta de que si yo pierdo el control de mi root cert cualquiera podría empezar a crear todo tipo de certificados.Pero en este caso también tendrán que instalar los certificados en mis servidores y configurar la saml aplicación para el uso de ellos.Sólo entonces podrían empezar a generar falsos saml las solicitudes y las respuestas a mis aplicaciones.
Si este es el único problema, esta solución (utilizando hecho a la casa de certificados en producción) sería todavía mejor que la configuración de conexión que tenemos hoy.
Solución
Pregúntate a ti mismo qué es un certificado de prueba.
Si usted recibe un certificado emitido por un reputado CA, a continuación se demuestra que el titular del certificado se ha verificado su identidad para que el CA, a sus normas de prueba.
Si usted recibe un certificado emitido por una ad-hoc, CA, a continuación, se prueba que alguien sabe cómo hacer que los certificados.
Si el control de ambos extremos de la conversación, creo que está bien tener su propia CA para el propósito.Usted confía en su propia CA.Usted probablemente puede hacer esto muy seguro, de hecho (por guardar la clave privada de CA en un lugar seguro fuera de línea, y hacer de la firma de un la sneakernet ejercicio).
La dificultad sería si usted necesita para persuadir a nadie a confiar en su CA.¿Por qué deberían?Usted tendría que convencerlos de que era seguro hacerlo, y que tendría la administración sobrecarga de la adición de su certificado de CA para sus clientes.
Otros consejos
Ya que solo vas a utilizar el certificado para proteger el tráfico de red y no autenticar a los usuarios/equipos suena como que tiene un uso legítimo para el uso de MakeCert.exe.
Siento que hay una cosa que vale la pena mencionar.Después de pasar algún tiempo trabajando con el MakeCert.exe la interfaz que usted podría considerar el uso de una Raíz independiente Certificado de Servidor en su lugar.
Considere estos puntos:
- (Casi) Todas las versiones de Windows Server incluyen Servicios de Certificate Server gratis
- Independiente de Windows Servidor de CA es muy simple de instalar y configurar
- Independiente de Windows Servidor de CA puede ser instalado en una Máquina Virtual y encendido/apagado cada vez que usted necesita para emitir un certificado adicional
- Una máquina virtual basada en Windows, Servidor de CA se pueden ejecutar con muy poca memoria (ex.256 mb)
- Independiente de Windows Servidor de CA incluye un bonito y limpio, basado en la web de inscripción de la interfaz para simplificar la solicitud de certificados.
- La comprobación de CRL puede ser utilizados o no, dependiendo de sus necesidades.
En el pasado empecé con selfssl.exe y finalmente se trasladó a MakeCert.exe para generar un certificado raíz y, a continuación, emitidas mis certificados de cliente.Pero después de luchar con la sintaxis y siempre tener que recordar dónde he puesto mi Certificado Raíz cambié a la utilización de una CA Raíz independiente en una máquina virtual.
Si los certificados son solamente pasan alrededor internamente, entre sus propios servidores (y no utilizados por el cliente, de un modo u otro) - entonces es perfectamente aceptable para usar su propia CA.
interna
Sin embargo, una sugerencia - no tiene su raíz CA emitir sus certs proveedor. En su lugar, utilice su autoridad certificadora raíz para crear una CA intermedia - a continuación, utilizar eso para emitir certificados de proveedores. Esto le ayudará a largo plazo, cuando se tiene que empezar a gestionar caducidad del certificado, extendiendo las listas / sistema de la infraestructura, de revocación, etc.
No hay ningún problema real con el uso de un certificado autofirmado en el uso privado, que se utiliza cuando el control de todos los sistemas que necesita para confiar en el homebrew certificado raíz.
Instalar manualmente la cuenta de root cert en cada uno de los sistemas que necesita para confiar en él.
Usted puede hacer esto en la producción, así como para el navegador de uso - por ejemplo dentro de una organización donde la ca raíz puede ser lanzado a través de software de distrubución método - no hay ninguna razón para ir a la costa de pagar una Autoridad de certificación de Microsoft pasa a la confianza.
[editar] En términos de secruity el tema es uno de los que contiene la clave privada para el certificado raíz, como usted puede asegurarse de que se mantenga en privado, entonces usted puede validar cualquier certificado que de la raíz.
