web-dev-qa-db-fra.com

Emplacements AIA / CRL pour la racine hors ligne

J'ai lu la réponse à ce qui suit " Liste de contrôle sur la construction d'une racine hors connexion et autorité de certification intermédiaire (CA) " et j'ai une question basée sur le système que je suis en train bâtiment
[.____] C'est un système Windows 2008 avec 3 domaines/forêt (c'est-à-dire un domaine par forêt) Je souhaite utiliser des certificats dans ce sens et que la conviction, je devrais pouvoir le faire avec une seule chambre hors ligne à auto-signée.

  • Racine - est la ca = racine hors ligne Self signée
  • DOM1Introot est l'autorité de certification du domaine Active Directory Dom1.a.com
  • DOM2Introot est l'autorité de certification pour le domaine Active Directory DOM2.A.COM
  • DOM23Introot est l'autorité de certification pour le domaine Active Directory Dom3dom2.a.com

Il n'y a pas de fiducies, pas de sous-domaines alors ce que je voudrais faire est de signer Dom1introot, Dom2Introot et Dom3Introot avec racine afin que je n'ai besoin que d'une racine hors ligne
Donc, cela signifie que je dois installer le certificat CA ROOT dans chaque domaine - que je pense du Microsoft " Exemple de scénario pour Contoso " moyens que je dois régler la LDAP emplacement AIA à une partition de configuration qui existe dans tous les domaines (dans ce cas, DC = a, DC = com) et l'emplacement HTTP à un certain serveur unique. Cependant, il dit également qu'ils peuvent avoir séparé des emplacements CRL/AIA qui semble contradictoire

Alors, j'ai lu la réponse référencée ci-dessus et dit de laisser l'AIA/CRL vide. Qui semble impliquer que le DOM1introot, DOM2Introot, DOM3Introot publiera la CRL/AIA pour la racine

J'ai donc deux réponses possibles que la Rootque a CRL/AIA ou cela ne le fait pas. Si la Rootque a AIA/CRL, alors que dois-je préciser exactement pour les URL LDAP/HTTP et FILE pour AIA et les emplacements CRL, par exemple, est-ce correct?

ldap:///CN=ROOTCA<CRLNameSuffix>,CN=ROOTCA,CN=CDP,CN=Public Key Services,CN=Services,DC=A,DC=COM
http://<SOMESERVER>/CertEnroll/ROOTCA<CRLNameSuffix><DeltaCRLAllowed>.crl
file://\\<SOMESERVER>\CertEnroll\ROOTCA<CRLNameSuffix><DeltaCRLAllowed>.crl

<SOMESERVER> est un serveur avec IIS qui rendra les certificats abvenables

Notez que je n'utilise pas le nom du serveur de racines hors ligne comme il n'est jamais vu - est-ce correct?

Si la rootque n'a pas AIA/CRL, comment puis-je publier une révocation de (dire) DOM1Introot?

Je suis un peu confus pour que cette question puisse commencer complètement les mauvaises hypothèses

J'ajouterai un peu d'informations sur la structure de domaine pour essayer de sortir quelques questions - DOM1.A.COM est l'endroit où les clients définis - DOM2.A.COM est un DMZ Type Network Protect DOM3 - DOM3.DOM2.A.COM n'est consulté que des utilisateurs de DOM1 à distance de se connecter à DOM2, puis une autre session distante dans DOM3 - nous souhaitons utiliser des certificats pour les voyageurs entre DOM1 et DOM2 et DOM2 et DOM3 - nous utiliserons également Certificats de DOM2 sur les appareils réseau (il devrait probablement être DOM3, mais c'est toujours en cours de discussion) - DOM2 et DOM3 sont islated à partir d'Internet. DOM3 est islate de tout sauf DOM2

windowscertificatespublic-key-infrastructurecertificate-authoritycertificate-revocation
6
Ross

Si l'autorité de certification racine est déconnecté alors l'autorité de certification racine est hors-ligne : il n'a pas de réseau. Cela implique que chaque fois qu'une liste de révocation est publié, un intervention manuelle est nécessaire pour le mettre sur un hôte connecté. À ce moment-là, vous pouvez le mettre manuellement trois endroits le cas échéant.

La "Information Authority accès" (AIA) et "Points de distribution CRL" (CRLDP) extensions sont des informations qui sont écrites dans les certificats émis par l'autorité de certification Dans ce cas, ces extensions sont dans les certificats de CA émis à la CA subordonnée (les trois sous-domaines CA). Il n'est pas nécessaire que chaque sous-ca reçoit exactement le même AIA et le même CRLDP de la racine; Vous pouvez parfaitement organiser la racine de délivrer le certificat de CA1 avec une AIA et un CRLDP pointant vers des emplacements (ldap:// URL) dans la forêt pour DOM1.A.COM, où vous pousserez manuellement une copie du certificat de certification root et de la CRL produite par la ca. Root Ca. Idem pour CA2, mais cette fois-ci avec des endroits dans DOM2.A.COM, etc.

Cependant, il est probablement plus simple d'utiliser HTTP. Mettez un serveur Web quelque part accessible à partir de tous les domaines et que l'autorité de certification racine écrit dans les certificats émettant de l'AIA et du CRLDP avec http:// URL. Uni HTTP convient parfaitement aux certificats et CRL, qui sont signés objet et peuvent donc être distribués sans aucun égard pour tout type de sécurité (pas de besoin de HTTPS ou de la publication de la CRL).

En outre, l'AIA est pas très utile pour une autorité de certification racine car il est une racine: la validation ne fonctionnera que si celui qui valide les fiducies la racine a priori , donc il faut déjà savoir. AIA est pour localiser les certificats que vous ne connaissez pas a priori , et, par conséquent, les certificats que vous ne faites confiance a priori : très utile pour CA intermédiaire, tout à fait inutile pour la racine CA. Dans un contexte Active Directory, vous pouvez appuyer sur l'autorité de certification root comme "fiduciée", par exemple, de GPO.

Pour automatiser la publication CRL, vous pouvez utiliser un la plupart du temps hors ligne autorité de certification racine C'est une cae racine qui est hors ligne, sauf qu'il a un canal intrinsèquement à sens unique pour produire régulièrement la CRL produite régulièrement. Je l'ai fait une fois sur un câble audio (CRL codé comme son, décodé de l'autre côté): L'avantage est que la prise "OUT" de l'interface audio d'un serveur est physiquement distincte de la prise "IN" Out "est vert, le" in "est rose), il peut donc être vérifié visuellement que la racine est toujours hors ligne. D'autres personnes ont utilisé des câbles RJ45 avec une seule paire de fils connectés, ce qui a une meilleure bande passante mais est moins facilement inspecté visuellement.

Quoi qu'il en soit, cela ne change pas la racine de la chose, qui est que HTTP rendra votre vie plus simple.

5
Thomas Pornin