it-swarm.asia

كاليفورنيا لإنترانت كبيرة

أدير ما أصبح شبكة إنترانت كبيرة جدًا (أكثر من 100 مضيف/خدمات مختلفة) وسأنازل عن دوري في المستقبل القريب. أريد أن أجعل الأمور سهلة في اليوم التالي ضحية الشخص الذي يأخذ مكاني.

يتم تأمين جميع المضيفين عبر SSL. ويشمل ذلك بوابات متعددة ، ويكي ، وأنظمة إدخال البيانات ، وأنظمة الموارد البشرية وغيرها من الأشياء الحساسة. نحن نستخدم الشهادات الموقعة ذاتيا والتي عملت في الماضي ، لكنها الآن مشكلة بسبب:

  • تجعل المتصفحات من الصعب على المستخدمين فهم ما يحدث تمامًا عند مواجهة شهادة موقعة ذاتيًا ، ولا يقبلها كثيرًا.

  • يعني وضع مضيف جديد 100 مكالمة هاتفية تسأل عن معنى "إضافة استثناء"

ما كنا نفعله هو مجرد استيراد المواد الموقعة ذاتيا عندما أنشأنا محطة عمل جديدة. كان هذا على ما يرام عندما كان لدينا فقط عشرة للتعامل معها ، ولكن الآن ساحقة للغاية.

لدينا صنف القسم هذا كـ ya all's problem ، كل ما نحصل عليه هو دعم تكوينات المحول والموجه. بالإضافة إلى اتصال المستخدم ، كل شيء آخر يعود لمسؤولي الإنترانت.

لدينا مزيج من محطات عمل Ubuntu و Windows. نرغب في إعداد جذر CA موقّع ذاتياً ، والذي يمكنه توقيع شهادات لكل مضيف ننشره على الإنترانت. وبطبيعة الحال سيتم إخبار متصفحات العملاء بالثقة في المرجع المصدق الخاص بنا.

سؤالي هو ، هل سيكون ذلك خطراً وهل من الأفضل أن نتعامل مع شهادات وسيطة من شخص مثل Verisign؟ في كلتا الحالتين ، لا يزال يتعين علي استيراد الجذر لـ CA الوسيطة ، لذلك لا أرى الفرق حقًا؟

بخلاف شحن الأموال ، ما الذي ستفعله شركة Verisign بحيث لا يمكننا القيام به ، إلى جانب حماية شهادة المرجع المصدق الجذر بحيث لا يمكن استخدامها في صنع تزوير؟

3
Tim Post

بكلمات مختصرة: لا أرى أي سبب يمنعك من استخدام شهادة تجارية. وقعت النفس - في هذه الحالة - يكفي (IMHO). أنا فقط استخدم verisign (أو GoDaddy أرخص) certs للتجارة الإلكترونية لأن مصمم الأزياء يمكن أن يكون متأكدا ، أنه تم التحقق من هوية المالك.

لإعداد المرجع المصدق الخاص بك (والذي يجب أن يحتوي في قضيتك على شهادة الجذر والعديد من العمليات الفرعية) ، يمكن أن تساعدك برامج مثل TinyCA في أخذ نظرة عامة.

بالنسبة لأجهزة سطح المكتب Ubuntu ، يمكنك استخدام UCK لإعداد القرص المضغوط الخاص بالتثبيت مع الشهادة داخل. بالنسبة لنظام Windows ، لا أعرف "أفضل ممارسة" ، لكنني أعتقد أن برامج مثل OPSI (المصدر المفتوح) يمكن أن تساعد (لم أجرب هذا مطلقًا).

آمل أن أتفهم أنك سؤال صحيح وأن هذه الإجابة ستساعد. آخر من فضلك لا صفعة لي. :-)

2
fwaechter

إضافة إلى إجابة fwa - إذا كنت في بيئة Windows/Active Directory ، يمكنك إعداد مرجع مصدق داخلي يتم دفعه تلقائيًا إلى مخزن شهادات الجذر لجميع الأجهزة على نطاقك. هذه الوظيفة التي بنيت فعلا في ويندوز.

تحتاج فقط إلى تثبيت خدمة المرجع المصدق على جهاز ثم تحديث GPO لعكس المرجع المصدق الجديد. كيفية القيام بذلك ، يجب طرح السؤال على خطأ الخادم ، ومع ذلك ستحتاج إلى مدخلات من موظفي تكنولوجيا المعلومات لإنجاز ذلك.

1
Mark Henderson