CA pour un grand intranet
Je gère ce qui est devenu un très grand intranet (plus de 100 hôtes/services différents) et je quitterai mon poste prochainement. Je veux rendre les choses faciles pour le prochain victime personne qui prend ma place.
Tous les hôtes sont sécurisés via SSL. Cela comprend divers portails, wikis, systèmes de saisie de données, systèmes de ressources humaines et autres éléments sensibles. Nous utilisons des certificats auto-signés qui ont bien fonctionné o.k. dans le passé, mais sont maintenant problématiques parce que:
Les navigateurs empêchent les utilisateurs de comprendre exactement ce qui se passe lorsqu'un certificat auto-signé est rencontré, et encore moins de les accepter.
Mettre en place un nouvel hôte signifie 100 appels téléphoniques demandant ce que "Ajouter une exception" signifie
Ce que nous faisions, c'est simplement importer les certificats auto-signés lorsque nous configurons un nouveau poste de travail. C'était bien quand nous n'avions qu'une douzaine à gérer, mais maintenant c'est écrasant.
Notre I.T. Le département a classé cela comme ya all's problem, tout ce que nous obtenons de eux est un support pour les configurations de commutateur et de routeur. Au-delà de la connectivité de l'utilisateur, tout le reste appartient aux administrateurs de l'intranet.
Nous avons un mélange de stations de travail Ubuntu et Windows. Nous aimerions configurer notre propre racine d'autorité de certification auto-signée, qui peut signer des certificats pour chaque hôte que nous déployons sur l'intranet. Les navigateurs clients seraient bien entendu invités à faire confiance à notre autorité de certification.
Ma question est la suivante: serait-ce dangereux et aurions-nous intérêt à utiliser des certificats intermédiaires délivrés par quelqu'un comme Verisign? Quoi qu'il en soit, je dois toujours importer la racine de l'autorité de certification intermédiaire, de sorte que je ne vois vraiment pas quelle est la différence.
En plus de nous facturer de l’argent, que ferait Verisign que nous ne pourrions pas, au-delà de la protection du certificat racine CA afin qu’il ne puisse pas être utilisé pour la fabrication de faux?
En quelques mots: je ne vois aucune raison pour laquelle vous devriez utiliser un certificat commercial. Un auto-signé est, dans ce cas, suffisant (à mon humble avis). J'utilise simplement des certificats Verisign (ou GoDaddy moins chers) pour le commerce électronique, car le client peut être sûr que l'identité du propriétaire a été vérifiée.
Pour configurer votre propre autorité de certification (qui, dans votre cas, devrait contenir un certificat racine et de nombreux "sous" -certs), des programmes tels que TinyCA peuvent vous aider à en avoir une vue d'ensemble.
Pour les ordinateurs de bureau Ubuntu, vous pouvez utiliser le UCK pour configurer votre propre cd d’installation avec le certificat à l’intérieur. Pour Windows, je ne connais pas la "meilleure pratique", mais je pense que des programmes tels que OPSI (Open Source) peuvent aider (je n'ai jamais essayé cela).
J'espère que j'ai bien compris votre question et cette réponse aiderait. Sinon, ne me giflez pas s'il vous plaît. :-)
Complément à la réponse de fwa - si vous êtes dans un environnement Windows/Active Directory, vous pouvez configurer une autorité de certification interne qui est automatiquement insérée dans le magasin de certificats racine de toutes les machines de votre domaine. Cette fonctionnalité a effectivement été intégrée à Windows.
Il vous suffit d'installer le service Autorité de certification sur une machine, puis de mettre à jour votre GPO afin de refléter la nouvelle autorité de certification. Comment faire cela devrait être demandé sur Server Fault , mais vous allez avoir besoin de la contribution de vos informaticiens pour le faire.