windows-server-2008 – Propósito detrás de las Autoridades de Certificación subordinadas

Pregunta:

En mi lugar de trabajo, estamos configurando una infraestructura PKI utilizando productos de Microsoft. Tenemos una pizarra totalmente limpia aquí y queremos tener un buen comienzo. Nos preguntamos por qué alguien establecería CA subordinadas. ¿Por qué no utilizar la CA raíz para todo? ¿Qué ventajas existen para la creación de CA subordinadas?

Gracias.

Respuesta:

En general, se considera una buena práctica tener al menos 2 niveles. La CA raíz y las CA emisoras subordinadas. Las CA emisoras emiten todos los certificados para sus máquinas o usuarios y la raíz emite los certificados de CA subordinados. Esto significa que puede desactivar la raíz, cuando no se encarga de una nueva CA subordinada, y proteger esa raíz separándola de la red, encerrándola en una bóveda y colocando grandes carteles de miedo. La pregunta es ¿por qué querrías hacer esto?

El propósito de los certificados es hacer una serie de cosas, pero una es autenticar a una persona o pieza de un kit a otra. La forma en que el certificado hace esto es firmando datos con una clave privada y permitiéndole verificar esta firma con la clave pública en el certificado. Si se valida, entonces sabrá que se puede confiar en la fuente, ya que solo ella tendría la clave privada. La pregunta entonces es cómo puedo confiar en el certificado y la clave pública. Puede confiar en esto porque está firmado con la clave privada de la CA emisora. El resultado de esto es que si sus CA están comprometidas, no puede confiar en nada.

Por lo tanto, el beneficio de sub-ca y una raíz fuera de línea es que su ca raíz y las claves asociadas son casi imposibles de comprometer. Si una de sus sub-cas está comprometida, simplemente revoque la sub-ca emisora ​​y cree otra que vuelva a emitir sus certificados y crls. Todos los certificados emitidos por la CA comprometida ya no serán procesados. No puede hacer esto si su raíz se ha visto comprometida y las personas podrían terminar confiando en que se están conectando a su infraestructura cuando no es así.

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım