Saya ingin menyiapkan otoritas sertifikasi perusahaan untuk domain saya. Jadi saya bisa mengeluarkan sertifikat untuk berbagai keperluan. Saya ingin mengikuti praktik terbaik untuk memiliki CA offline sebagai root, dan mengatur CA perusahaan saya sebagai bawahan. Tapi rasanya konyol untuk melisensikan salinan Windows sepenuhnya untuk tugas ini.
Apa yang saya berharap dapat lakukan adalah menginstal beberapa distribusi langsung ke USB flash disk, dan kemudian menginstal openssl, dan mengatur CA saya pada flash drive. Ketika saya siap untuk membangun kunci root / cert saya akan memutus komputer dari jaringan, dan kemudian tidak pernah menggunakan disk USB pada jaringan komputer yang terpasang lagi.
Apakah saya dapat menandatangani dan membuat sertifikat CA bawahan dengan benar untuk CA perusahaan Windows, yang akan dapat digunakan. Opsi apa yang perlu saya gunakan dengan OpenSSL untuk membangun CA dan menandatangani sertifikat CA bawahan dengan benar.
Saya telah mencoba mencari di web, dan ini adalah satu-satunya hal yang dapat saya temukan pada subjek. Tapi itu sebelum 2008, dan saya tidak sepenuhnya yakin orang itu sukses.
sumber
Jawaban:
Ya, itu berfungsi dengan baik; otoritas sertifikat Windows tidak ragu menjalankannya sebagai bawahan dari root non-Windows.
Diuji dengan root OpenSSL dan bawahan Windows 2008 R2 dalam mode Perusahaan.
Beberapa hal yang dapat dilakukan dengan baik dengan apa yang diharapkan MS CA di konfigurasi OpenSSL:
Lokasi AIA dan CDP yang valid harus berlaku untuk sertifikat root, di bagian yang dikonfigurasi oleh
x509_extensions
properti[req]
bagian untuk root yang ditandatangani sendiri. Sesuatu di sepanjang garis ini:Konfigurasi OpenSSL yang diberikan mungkin tidak mengizinkan CA bawahan secara default. Ubah itu untuk permintaan yang ditandatangani (pastikan ini tidak ada untuk permintaan yang seharusnya bukan CA, tentu saja). Ini akan berada di bagian yang dikonfigurasikan oleh
x509_extensions
properti[ca]
bagian:Jadi, kami akan melakukan CA untuk menguji.
Buat root Anda:
Biasakan konfigurasi Anda dan buat file dan direktori yang diperlukan di
[ca]
bagian konfigurasi OpenSSL Anda.Semua siap untuk membuat sisi Microsoft segalanya berjalan; membuat CA bawahan Windows dengan penandatanganan manual.
Unggah permintaan sertifikat ke server OpenSSL. Saat Anda melakukannya, unduh sertifikat root. Impor ke toko root tepercaya - komputer, bukan pengguna Anda!
Keluarkan sertifikat bawahan:
Jika itu tidak berhasil, CA Anda mungkin memiliki masalah dengan config - direktori sertifikat baru, file indeks, file seri, dll. Periksa pesan kesalahan.
Jika itu pergi, maka itu saja. Jika belum, buat CRL dan masukkan ke CDP yang Anda konfigurasi di atas; Saya baru saja menginstal Apache dan menghentikannya di webroot:
Dan letakkan sertifikat Anda di lokasi AIA, jika belum:
Unduh sertifikat bawahan yang baru dikeluarkan dan instal ke CA dengan snap-in MMC Otoritas Sertifikasi. Itu akan mengeluh tentang masalah apa pun dengan kepercayaan atau validasi, tetapi tidak memiliki keberatan moral untuk mengambilnya.
Hasil akhir; Windows CA yang berfungsi tanpa mengeluh dari snap-in Enterprise PKI, dengan tanda
OpenSSL Generated Certificate
pada atribut.sumber
Saya mengerti apa yang Anda maksud, tetapi saya tidak berpikir OpenSSL adalah alat yang tepat untuk pekerjaan itu. Anda mungkin ingin melihat proyek Otoritas Sertifikat Sumber Terbuka seperti EJBCA yang lebih fokus pada fungsi ini daripada OpenSSL, dan memiliki dokumentasi khusus yang dapat Anda gunakan.
Saya tidak melihat alasan mengapa konsep ini tidak berhasil, karena semua yang Anda lakukan adalah menandatangani sertifikat CA bawahan. Jika Anda membayar CA publik untuk melakukan ini untuk Anda, Anda tidak perlu tahu atau peduli rasa server yang mereka gunakan.
Yang perlu Anda pedulikan adalah:
Saya tidak bisa mengatakan saya telah melakukan ini, tetapi saya yakin jika Anda mengikuti dokumen untuk menghasilkan CSR dari kotak windows, kemudian ikuti CA Anda dokumentasi untuk menghasilkan sertifikat .p7k dari CSR, maka Anda harus baik-baik saja.
Ngomong-ngomong - saya akan merekomendasikan Anda membuat CA Anda sebagai mesin virtual untuk hypervisor populer seperti Hyper-V atau VMware, daripada boot disk, pastikan Anda menyimpannya dengan sangat aman di tempat penerus Anda dapat menemukannya, dan memutarnya offline secara berkala untuk memastikannya berjalan, atau mentransfernya ke media / teknologi baru. CA root mungkin memiliki umur 10 atau 20 tahun ...
sumber