Каков альтернативный вариант самозаверяющих сертификатов в производстве для аутентификации внутренних систем

Question

Я хочу проверить подлинность систем, развернутых на разных серверах друг с другом, используя сертификаты. Если бы это был не самозаверяющий сертификат, какова должна быть каждая система иметь свой собственный сертификат и доверять другому серверу в рабочей среде?

Подписанные сертификаты оплачиваются, и я не думаю, что они мне нужны, так как у меня нет взаимодействия с пользователем. Я прав?

Answer 1

Вы не сказали, какую платформу вы используете, но для Windows я бы рекомендовал Active Directory Certificate Services: https://technet.microsoft.com/en-us/windowsserver/dd448615.aspx

Answer 2

Различие здесь на самом деле не «самозаверяющими» против «подписан.» Правильное различие является «коммерческим» и «внутренним». Поставщики коммерческих сертификатов продают вам одну вещь: они имеют сертификат в корневом хранилище основных браузеров и операционных систем. Существует не технические разница между сертификатом, который Verisign знаки и тот, который вы подписываете. Verisign просто имеет сертификат подписи в this list, а вы нет.

Итак, вы правы. Для внутренней проверки подлинности нет причин для защиты коммерческих сертификатов. Вы все равно должны защищать свой секретный ключ так же тщательно. Коммерческие сертификаты предлагают удобство, а не безопасность. Вы платите им немного денег, и вам не нужно беспокоиться о некоторой конфигурации.

Но вы можете торговать удобством для денег. Это можно сделать двумя способами: внутренними корнями и закреплением сертификата. С внутренним корнем вы просто создаете корневой сертификат подписи («Центр сертификации») и помещаете его в доверенные корневые хранилища ваших серверов. Затем выдайте CSR (запросы подписи сертификата) себе, подпишите и примените их к вашим услугам.

Свидетельство о выдаче сертификата просто пропускает шаг центра сертификации. Просто возьмите все свои сертификаты обслуживания и поместите их непосредственно в доверенные корневые хранилища ваших серверов. Тогда нет никакой косвенности.

Каждый способ имеет свои преимущества. Я, как правило, предпочитаю приписывать все другие вещи равными, потому что он связывает меня с конкретными сертификатами, а не целями. Но в любом случае все в порядке.

Спецификации, конечно, будут сильно зависеть от вашей инструментальной цепочки, которую вы не указали, но ваш вопрос предполагает, что вы уже знаете, как создавать сертификаты.

Просто помните, что ваша безопасность будет зависеть от защиты ваших личных ключей. Но это было верно и с коммерческими сертификатами.