在我的工作单位,多年来我们一直没有内部证书颁发机构。这对我们来说是有效的,因为没有受信任的实体并没有明显的影响。然而,现在看来这种趋势已经迅速逆转——大多数新技术现在都不愿意与不受信任的实体进行可信通信。
不幸的是,我是第一个提到我们公司应该建立内部 CA 的人,所以我负责实现它(尽管我不知道自己在做什么)。我的问题与建立和维护 CA 所需的工作有关。此外,我想验证我选择在 serverfault 而不是 stackoverflow 上提问这个问题是否正确(这更像是“服务器组”而不是“软件开发人员”的问题,对吧?)
我的主要问题:设置 CA 是否需要聘请常驻专家/全职人员专门维护 CA?还是说这是“设置后就忘”的事情?
我是一名软件工程师,我担心我的职业生涯会严重偏离正轨。我的雇主已经希望在所有事情上都使用证书(无线安全、代码签名、服务器身份验证、电子邮件签名等等……)
我应该担心吗?救命!
编辑-附加信息:
我的雇主在国际上雇用了 2000-3000 名员工。我们是一家总部位于微软的公司。
据我所知,我们希望利用 PKI 来实现以下目的:
- 签署电子邮件。
- 签署文件(Word、PDF 等)。
- 签名代码(ClickOnce)。
- 使我们的服务器值得信赖(对于 RDP 会话、终端服务)。
- 内部 https。
- 无线安全/身份验证。
答案1
我的日常工作是从事 PKI 架构设计,答案是,这取决于您的组织规模、您打算实施的 PKI 以及系统和内部监控的设置情况。
如果您的组织规模很大,那么将有很多带有证书的机器,这些证书会过期、需要更换等,但是我的经验是,一旦部署证书,那么任何机器无法与另一台机器通信都会在执行最基本的诊断之前归咎于证书。我见过有人将证书归咎于证书,结果却发现网线被拔掉了。
其结果是,在任何大型组织中,你都会花费大量时间来协助解决这些棘手的问题。
我还担心,由于 PKI 是一个重要的安全系统,您确实需要了解其理论和基础知识,才能使其具有价值并且不损害它。
虽然有很多复杂的描述,但 Shon Harris 在她的 CISSP 书中做得很好,或者 Bruce Schneier 的《密码学基础》是更深入的介绍,也是一个好地方
也许您可以向我们提供一些有关 PKI、entrust、microsoft 等的信息以及您所在组织的规模?
答案2
CA 确实不需要有人全职照看。当然,好的文档等也很重要,但它们还不够复杂,不需要聘请专家。如果您对自己所做的事情一无所知,那么聘请真正了解自己所做的事情的人可能会有所帮助,但无论您将其用于什么用途,我都无法想象真正解决它需要花费超过几天的时间。
答案3
我也处理过很多在 $job 的 PKI 实施,并补充说,只要您......您就不需要全职的 CA 管理员。
- 留意马克 (+1) 关于指责文化和对 PKI、PKCS 等的理解的建议。
- 确保从第一天起你就拥有足够的工具来管理它。
有了良好的实用程序和基本文档,颁发和撤销证书的过程应该足够简单,任何人都可以执行。我们必须进行一些内部开发来弥补这一差距。如果没有,它很可能会成为一场管理噩梦,而不是技术噩梦。
答案4
我为一家拥有 20,000 名用户的公司管理它,这只占用了我 2% 的时间,但是:
- 域中的 Windows 2003 CA
- gpo 管理机器上的 CA 证书
- 网站管理员可以使用 certsrv 网站获取自己的证书
- 网站管理员负责跟踪何时续订;我不会告诉他们