certification authority - quali porte servono??

Tutte le risposte

• 

  

  0

  Registrati per votare

  quale sarebbe il tuo scopo ? quello di non essere costretto a comprare i certificati da una CA pubblica come Verisign e consentire ai tuoi partner di richiedere i certificati dall'esterno della tua rete locale ?

  attenzione a quello che fai perchè stai aumentando la superficie d'attacco della tua struttura di sicurezza.

  in tutti i casi, per richiedere certificati la CA può essere contattata tramite RPC (quindi porta 135 per la prima connessione e una porta random oltre le well known ports per la secundary connection) oppure tramite l'interfaccia web della CA stessa e quindi sulla 443 (visto che la 80 è altamente sconsigliata).

  ciao.

  ---

  Edoardo Benussi - Microsoft® MVP
  Management Infrastructure - Systems Administration
  https://mvp.support.microsoft.com/Profile/Benussi
  Windows Server Italian Forum Moderator
  edo[at]mvps[dot]org

  • Proposto come risposta Edoardo BenussiMVP, Moderator lunedì 26 luglio 2010 14:41
  • Contrassegnato come risposta Edoardo BenussiMVP, Moderator martedì 27 luglio 2010 15:24

  lunedì 26 luglio 2010 14:40

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  In genere, se usi una tua C.A., devi distribuire direttamente il certificato della tua Certification Authority a chi la utilizzarà, per renderla "attendibile".

  I veri vendors (almeno i più noti) non devono farlo perchè nei sistemi il loro certificato root è già previsto.

  Quello che devi esporre, a quel punto, è solo la CRL (lista dei certificati revocati) che puoi mettere su ciascun pc direttamente sotto forma di file (e quindi non esporre nulla su Internet) oppure esporre su porte come la 443 (HTTPS) o la LDAP (389).

  Ovviamente un client che non trova alcune CRL non accetta il certificato.

  La revocation list, ovviamente, può stare su un server esposto che NON sia la C.A.

  N.B.

  Se la tua C.A. è integrata con Active Directory, il root C.A. certificate viene già distribuito a tutti i clients del dominio

  ---

  -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)

  • Proposto come risposta Fabrizio Volpe lunedì 26 luglio 2010 16:16
  • Proposta come risposta annullata Edoardo BenussiMVP, Moderator martedì 27 luglio 2010 07:25

  lunedì 26 luglio 2010 16:16

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  ciao e grazie per la risposta,

  si sto proprio valutando di autocertificarmi per non dover dipendere da terzi.

  so che è necessario un lavoro aggiuntivo (per l’ installazione manuale del certificato nel client di partner) e quindi sto cercando di valutarne i pro e i contro.

  La mia necessità non è emettere certificati per l’esterno ma solo rendere “validabili”i certificati che ho emesso per i miei server .

   

  lunedì 26 luglio 2010 17:24

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Se la tua C.A. è integrata con Active Directory, il root C.A. certificate viene già distribuito a tutti i clients del dominio

  --------------------------------------------

  la cosa in effetti potrebbe tornarmi comoda... ma in questo caso dovrei per forza esporre una macchina legata al domino giusto??
  io pensavo di esporre una macchina stand alone per sicurezza magari in dmz....

   

  • Modificato Edoardo BenussiMVP, Moderator martedì 27 luglio 2010 07:26 typo error

  lunedì 26 luglio 2010 17:27

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  aggiungo un dettaglio che magari è importante...
  ora ho diversi servizi esposti:
  web-mail
  web-crm
  web-app
  portali utente
  sito  intranet
  (a breve altri come outlook anytime ecc..)
  l'idea è quella che un partner che deve lavorare con noi si installa la root ca è di conseguenza tutti i certificati emessi per i miei servizi risultano validi....
  ovviamente per fare ciò  un browser o un client rdp deve contattare la mia ca per la validazione... (e da qui le mie valutazioni)

  ogni consiglio e ben accetto! grazie

  • Modificato Edoardo BenussiMVP, Moderator martedì 27 luglio 2010 07:25 typo errror

  lunedì 26 luglio 2010 17:34

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Rispondo qui come cumulativa per tutto il resto :

  se vuoi usare tuoi certificati sui server esposti, distribuisci su un supporto a tutti i "partner" il root certificate della tua C.A. (che arriva invece direttamente ai tuoi clients di dominio).

  Se vuoi, distribuisci anche la CRL (che i tuoi clients vedranno sulla C.A.)

  NON devi esporre la C.A. e NON devi inserire macchine "esterne" nel dominio.

  Puoi seguire la procedura riportata qui, solo che il .crt della root C.A. lo salvi su usb o simile invece che distribuirlo tramite G.P.

  http://technet.microsoft.com/en-us/library/cc758128(WS.10).aspx

   

  ---

  -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)

  lunedì 26 luglio 2010 18:48

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Molto molto interessante grazie.

  non ho capito solo un'ultima cosa: un pc esterno al mio domino se non puo contattare la mia crl come fa a validare o meno un certificato  a distanza di tempo (intendo dopo mesi o anni che il certificato è stato distribuito)??

  lunedì 26 luglio 2010 19:27

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Rispondo qui come cumulativa per tutto il resto :

  se vuoi usare tuoi certificati sui server esposti, distribuisci su un supporto a tutti i "partner" il root certificate della tua C.A. (che arriva invece direttamente ai tuoi clients di dominio).

  Se vuoi, distribuisci anche la CRL (che i tuoi clients vedranno sulla C.A.)

  NON devi esporre la C.A. e NON devi inserire macchine "esterne" nel dominio.

  Puoi seguire la procedura riportata qui, solo che il .crt della root C.A. lo salvi su usb o simile invece che distribuirlo tramite G.P.

  http://technet.microsoft.com/en-us/library/cc758128(WS.10).aspx

  
  il root certificate della CA può essere anche fatto scaricare da un'apposita pagina asp ospitata su un web server pubblico.

  è chiaro che l'azione dello script che installa il root certificate deve essere permessa inserendo il sito web nella security zone dei trusted web sites sul client.

  ---

  Edoardo Benussi - Microsoft® MVP
  Management Infrastructure - Systems Administration
  https://mvp.support.microsoft.com/Profile/Benussi
  Windows Server Italian Forum Moderator
  edo[at]mvps[dot]org

  • Contrassegnato come risposta Dario Bonini martedì 27 luglio 2010 12:11

  martedì 27 luglio 2010 07:28

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Molto molto interessante grazie.

  non ho capito solo un'ultima cosa: un pc esterno al mio domino se non puo contattare la mia crl come fa a validare o meno un certificato  a distanza di tempo (intendo dopo mesi o anni che il certificato è stato distribuito)??

  
  la CRL può essere messa su un web site pubblico che non sta sulla stessa macchina su cui c'è la CA purchè la CA possa raggiungere la CRL per aggiornarla. è chiaro che i path della posizione della CRL andranno configurati nella CA in modo che siano scritti all'interno dei certificati emessi.

  ---

  Edoardo Benussi - Microsoft® MVP
  Management Infrastructure - Systems Administration
  https://mvp.support.microsoft.com/Profile/Benussi
  Windows Server Italian Forum Moderator
  edo[at]mvps[dot]org

  martedì 27 luglio 2010 07:30

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  servizi risultano validi.... ovviamente per fare ciò  un browser
  o un client rdp deve contattare la mia ca per la validazione...
  (e da qui le mie valutazioni)

  leggi qui

  http://technet.microsoft.com/en-us/library/cc756120%28WS.10%29.aspx

  martedì 27 luglio 2010 08:56

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  ottimo ora è tutto piu chiaro!

  in ultima battuta, visto quello che sarebbe il mio scopo, mi conviene installare un enterprise ca o standalone??

  martedì 27 luglio 2010 12:10

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  la CRL può essere messa su un web site pubblico che non sta sulla
  stessa macchina su cui c'è la CA purchè la CA possa raggiungere
  la CRL per aggiornarla. è chiaro che i path della posizione della CRL
  andranno configurati nella CA in modo che siano scritti all'interno
  dei certificati emessi.

  giusto come nota; la CRL dovrebbe essere "raggiungibile" dalla CA
  in modo che quest'ultima possa procedere agli aggiornamenti ma
  la CA NON dovrà essere raggiungibile dalla CRL onde evitare
  problemi di sicurezza; in breve tutti gli aggiornamenti effettuati
  saranno
  di tipo "push" dalla CA alla CRL; quest'ultima potrà essere piazzata
  in una DMZ "locale" o su un server posto all'esterno della propria rete

  • Contrassegnato come risposta Edoardo BenussiMVP, Moderator mercoledì 28 luglio 2010 10:45

  martedì 27 luglio 2010 14:36

  Risposta

  |

  Citazione