J'utilise ma propre ca pour créer des certs SSL pour les services de mon infra. Ces certs sont signés directement par mon ca.
Il me vient pour moi que ceci est probablement une stratégie faible, comme si le CERT devait être compromis, je dois en créer de nouveaux à partir de la ca. Si l'autorité de certification est compromise, le jeu terminé car chaque service devra être mis à jour.
Donc, ma compréhension est que le moyen typique de "protéger" soi-même et "diluer" est de créer une chaîne de certificats et de signer les certificats de service à la fin de la chaîne, de sorte que si le signataire est compromis, le niveau suivant peut être utilisé pour créer un nouveau certificat de signature.
Est-ce que je comprends ce droit?
Ce que j'aimerais faire, c'est créer ma propre chaîne de certification.
L'ensemble des choses TLS/SSL est toujours un peu floue pour moi, mais comme je peux le constater, on crée d'abord une clé principale, avec openssl genrsa
puis créer un certificat auto-signé en utilisant cette clé avec openssl req -x509 -new
Pour créer le ca.
Ensuite, je peux créer de nouvelles clés et des demandes de signature de certificats avec openssl req -new -key' and sign the request with my CA with
Openssl x509 -req -ca ca.pem ... `
Donc, pour créer une chaîne de certificats, que suis censé faire?
Est-ce que je crée simplement une nouvelle clé, une nouvelle demande de signature et la signer avec le dernier certificat signé au lieu de l'autorité de certification? Et ainsi de suite jusqu'à avoir suffisamment de niveaux de protection, puis connectez-vous toutes les paires de cert/clés avec le brevet le plus bas de niveau?
Ce truc est confus et j'aimerais bien réussir ;-)
Tout ce que je trouve à propos de TLS est extrêmement compliqué, tandis que les "simples" tutoriels sont obscur. Je regarde à travers les pages de l'homme OpenSSL, mais j'aimerais avoir une explication simple du processus, puis je vais m'assurer de bien faire la marche.
Merci pour votre aperçu.
Vous signerez une demande de CA intermédiaire avec la racine ca. Avec cette autorité de certification de signature, l'autorité de certification racine peut rester hors ligne.
L'autorité de certification racine peut encore être approuvée et émettre une signature de remplacement CAS si nécessaire. Le défi devient ensuite émettre des révocations de certificats, surtout si vous ne contrôlez pas tous les clients.
Le processus est quelque peu impliqué si vous le faites manuellement. Voir https://jamielinux.com/docs/openssl-certificat-authority/ pour un guide.