Какие существуют best practics для работы с собственным CA ?

2

1

День добрый - заинтересовал озвученный вопрос. Перечислю неясные для себя моменты

Место хранения данных СА в глобальном смысле
1. СА находиться на одном из рабочих серверов, например на vpn сервер
2. СА находиться на выделенном сервере, следуя парадигме каждой задаче - свой сервер
3. СА находиться на машине админа
4. СА находиться на отдельном внешнем носителе, подключаясь по необходимости к той или иной станции
Место хранения данных СА в локальном смысле
1. СА храниться где то в дебрях /usr/share/
2. СА храниться в хомяке рута
3. СА храниться в хомяке специально созданного пользователя
4. СА храниться криптованном файле, который монтируется по второму или третьему способу
5. СА храниться на отдельном внешнем носителе
Способ управления СА
1. Только хардкор и ручной вызов openssl
2. Использование набора скриптов аля easy-ca
3. Использование простных tui/gui надстроек аля TinyCA
4. Использование каких то коммерческих пакетов ? ...
Аудит устаревших/отозванных сертификатов
1. Просмотр глазами время от времени ?
2. Написание скрипта для обхода сертификатов с уведомлением на почту
3. Использование встроенных средств надстроек из предыдущего пункта
Выполнение бэкапа данных СА
1. Ручное копирование время от времени ?
2. Написание скрипта для периодического сохранения на удаленный сервер/личный носитель админа ?
3. Использование встроенных средств надстроек из препредыдущего пункта
Импорт/Экспорт данных СА
1. Вручную ?
2. Использование встроенных средств надстроек из препрепредыдущего пункта

Размер СА от 30 и выше сертификатов. Дискас ?

Ссылка

←	Сборка ices из сходников. configure сыпет ошибками.

Народ помогите со злосчастной XUBUNTU

→

Можешь покопать тут вот:

http://pki.fedoraproject.org/wiki/PKI_Main_Page

The Dogtag Certificate System is an enterprise-class open source Certificate Authority (CA). It is a full-featured system, and has been hardened by real-world deployments. It supports all aspects of certificate lifecycle management, including key archival, OCSP and smartcard management, and much more. The Dogtag Certificate System can be downloaded for free and set up in less than an hour.

Насколько я понимаю это апстрим для Red Hat Certificate System

https://access.redhat.com/site/documentation/en-US/Red_Hat_Certificate_System...

alpha ★★★★★
(25.09.13 19:05:33 MSK)

Обхожусь xca. Где сел за машину - там и центр сертификации. Количество - ~70, полёт нормальный.

anonymous
(26.09.13 05:14:07 MSK)

Ссылка

Ответ на: комментарий от alpha 25.09.13 19:05:33 MSK

Почитаю, но уже вот это малость смущает

The Certificate System employs Red Hat Fortitude as its HTTP engine; this runs secure Tomcat for the CA, OCSP, TKS, and DRM subsystems and secure Apache for TPS and RA.

The Certificate System uses Fedora Directory Server as its database for storing information...
почти из пушки по воробьям IMXO

TEX ★★★
(26.09.13 08:14:30 MSK) автор топика

Ссылка

Почему ты задал эти вопросы не себе, а на форуме? Ты же видишь, что ответы на них зависят вовсе не от количества сертификатов?

anonymous
(26.09.13 10:44:06 MSK)

Ответ на: комментарий от anonymous 26.09.13 10:44:06 MSK

Почему ты задал эти вопросы не себе, а на форуме?

тег best practices для тебя специально указан.

TEX ★★★
(26.09.13 11:15:48 MSK) автор топика

Ответ на: комментарий от TEX 26.09.13 11:15:48 MSK

Ты же видишь, что ответы на них зависят вовсе не от количества сертификатов?

anonymous
(26.09.13 11:22:08 MSK)

Ответ на: комментарий от anonymous 26.09.13 11:22:08 MSK

Не зависят и я не считаю что зависят, но для кого то возможно это важно, и что ? По делу то есть чего сказать ?

TEX ★★★
(26.09.13 11:50:09 MSK) автор топика

Ответ на: комментарий от TEX 26.09.13 11:50:09 MSK

Если ты считаешь что УЦ для домашнего опенвпн с ведроидом это то же самое что и УЦ для сети аккредитованых УЦ минсвязи, то у меня для тебя плохие новости.

anonymous
(26.09.13 12:05:40 MSK)