Шоу на Liferay Road - Представяне на уеб портала на Liferay в Монреал, Квебек

Управлявам това, което се превърна в много голям интранет (над 100 различни хоста / услуги) и в близко бъдеще ще се оттегля от ролята си. Искам да улесня нещата за следващия жертва човек, който заема моето място.

Всички хостове са защитени чрез SSL. Това включва различни портали, уикита, системи за въвеждане на данни, HR системи и други чувствителни неща. Използваме самоподписани сертификати, които са работили o.k. в миналото, но сега са проблематични, защото:

  • Браузърите затрудняват потребителите да разберат какво точно се случва, когато се срещне самоподписан сертификат, още по-малко да ги приемат.

  • Поставянето на нов хост означава 100 телефонни обаждания с въпрос какво означава „Добавяне на изключение“

Това, което правехме, е просто да импортираме самоподписани сертификати, когато създадохме нова работна станция.Това беше добре, когато имахме само дузина, с които да се справим, но сега е просто поразително.

Нашият И.Т. Департаментът класифицира това като ya all's problem, всичко, което получаваме от тях, е поддръжка за конфигурации на комутатори и рутери. Освен потребителя, който има свързаност, всичко останало зависи от администраторите на интранет.

Имаме комбинация от работни станции на Ubuntu и Windows. Бихме искали да настроим наш собствен самоподписан CA корен, който може да подписва сертификати за всеки хост, който разполагаме във вътрешната мрежа. На клиентските браузъри, разбира се, ще бъде казано да се доверят на нашия CA.

Въпросът ми е, би ли било опасно това и би ли било по-добре да отидем с междинни сертификати от някой като Verisign? Така или иначе, все още трябва да импортирам root за междинния CA, така че наистина не виждам каква е разликата?

Освен че ни зарежда пари, какво би направил Verisign, което не бихме могли, освен да защитим root сертификата CA, така че да не може да се използва за фалшификации?

Накратко: Не виждам причина да използвате търговски сертификат. Самоподписан е - в този случай - достатъчно (IMHO). Просто използвам сертификати Verisign (или по-евтини GoDaddy) за електронна търговия, защото потребителят може да бъде сигурен, че самоличността на собственика е проверена.

За да настроите свой собствен CA (който във вашия случай трябва да съдържа корен сертификат и много "под" -церти), програми като TinyCA могат да ви помогнат да вземете общия преглед.

За настолните компютри на Ubuntu можете да използвате UCK, за да настроите свой собствен CD за инсталиране с сертификата вътре. За Windows не знам „най-добрата практика“, но мисля, че програми като OPSI (с отворен код) могат да помогнат (никога не съм опитвал това).

Надявам се, че разбрах, че питате правилно и този отговор ще помогне. Иначе моля не ме шамари. :-)

  • Разбрахте го добре :) Просто исках да се уверя, че не пропускам или не успявам да обмисля нещо, като настроя CA за вътрешна употреба.

В допълнение към отговора на fwa - ако сте в среда на Windows / Active Directory, можете да настроите вътрешен CA, който автоматично се премества в хранилището на root сертификати на всички машини във вашия домейн. Тази функционалност всъщност е вградена в Windows.

Трябва само да инсталирате услугата за удостоверяване на машина и след това да актуализирате вашия GPO, за да отразява новия CA. Как да направите това трябва да бъде попитано при Server Fault, но ще ви е необходим приносът на вашите ИТ момчета, за да направите това.

е работил за вас: Charles Robertson | Искате ли да се свържете с нас?

Полезна информация