大規模イントラネットのCA
私は非常に大きなイントラネット(100を超える異なるホスト/サービス)になったものを管理しており、近い将来に私の役割を辞任する予定です。次のために物事を簡単にしたい 被害者 私の代わりになる人。
すべてのホストはSSLで保護されています。これには、さまざまなポータル、wiki、データ入力システム、HRシステム、およびその他の機密事項が含まれます。自己署名証明書を使用しています。以前は、次の理由で問題があります。
ブラウザーは、ユーザーが自己署名証明書に遭遇したときに何が起こっているかを正確に理解することを難しくします。
新しいホストを設置するということは、「例外を追加する」という意味を尋ねる100回の電話を意味します。
新しいワークステーションをセットアップするときに、自己署名証明書をインポートするだけでした。対処するのが十数個しかないときはこれで問題ありませんでしたが、今では圧倒的です。
I.T.部門はこれをya all's problemとして分類しました。それらから得られるのは、スイッチとルーターの構成のサポートだけです。ユーザーが接続できることを超えて、他のすべてはイントラネット管理者に任されています。
UbuntuワークステーションとWindowsワークステーションが混在しています。イントラネットに展開する各ホストの証明書に署名できる、独自の自己署名CAルートをセットアップしたいと思います。もちろん、クライアントブラウザはCAを信頼するように指示されます。
私の質問は、これは危険なことであり、Verisignのような誰かからの中間証明書を使用する方が良いでしょうか?いずれにせよ、中間CAのルートをインポートする必要があるので、違いは実際にはわかりませんか?
ルートCA証明書を保護して偽造に使用できないようにする以外に、Verisignは私たちにお金を請求する以外に、できなかったことをどうしますか?
簡単に言えば、商用証明書を使用する理由はわかりません。自己署名は-この場合-十分(IMHO)です。私は、EコマースにVerisign(または安価なGoDaddy)証明書を使用しています。これは、衣装担当者が所有者の身元が確認されたことを確認できるためです。
独自のCA(ルート証明書と多くの「サブ」証明書を含む必要がある)をセットアップするには、TinyCAなどのプログラムが概要を理解するのに役立ちます。
Ubuntuデスクトップの場合は、 UCK を使用して、証明書を含む独自のインストールCDをセットアップできます。 Windowsの場合、「ベストプラクティス」はわかりませんが、 OPSI (オープンソース)のようなプログラムが役立つと思います(これを試したことはありません)。
あなたの質問が正しいことを理解し、この回答が役立つことを願っています。それ以外の場合は私を平手打ちしないでください。 :-)
Fwaの答えに追加-Windows/Active Directory環境の場合、ドメイン上のすべてのマシンのルート証明書ストアに自動的にプッシュされる内部CAをセットアップできます。この機能は、実際にウィンドウに組み込まれています。
証明機関サービスをマシンにインストールし、GPOを更新して新しいCAを反映するだけです。これを行う方法は Server Fault で確認する必要がありますが、これを行うにはITスタッフの入力が必要になります。