Jam*_*nes 7 security certificate authentication
在我工作的地方,我们多年来一直在没有内部证书颁发机构的情况下溜达。这对我们有用,因为没有受信任的实体没有明显的影响。然而,现在这种趋势似乎已经迅速逆转——大多数新技术现在都不愿与不可信实体进行可信通信。
不幸的是,我是第一个提到我们公司应该建立内部 CA 的人,所以我负责实现它(尽管我不知道我在做什么)。我的问题涉及设置和维护 CA 所需的工作量。另外,我想验证我选择在 serverfault 上问这个问题是正确的,而不是 stackoverflow(这更像是“服务器组”野兽而不是“软件开发人员”野兽,对吗?)
我的主要问题是:设立 CA 是否需要聘请专门负责维护 CA 的常驻专家/全职人员?或者它是一种“一劳永逸”的野兽?
我是一名软件工程师,我担心我的职业生涯会严重偏离轨道。我的雇主已经想将证书用于一切(无线安全、代码签名、服务器身份验证、电子邮件签名,列表还在继续……)
我应该担心吗?帮助!
编辑 - 附加信息:
我的雇主在国际上雇佣了 2000-3000 名员工。我们是一家基于微软的公司。
据我所知,我们希望将 PKI 用于以下目的:
我将 PKI 架构作为我的日常工作,答案是这取决于您组织的规模、您打算实施的 PKI 以及系统和内部监控的设置情况。
如果您的组织很大,那么会有很多带有证书的机器,这些证书会过期,需要更换等,但是我的经验是,一旦您部署了证书,那么一台机器与另一台机器通信的任何故障都归咎于证书执行最基本的诊断。我见过证书被指责只是发现网线被拔掉了。
这样做的结果是,在任何大型组织中,您都会花费大量时间被召集来协助解决这些棘手的问题。
我还担心,由于 PKI 是一个重要的安全系统,您确实需要了解理论和基础知识,才能使其或 f 值而不是妥协。
有很多复杂的描述,但 Shon Harris 在她的 CISSP 书中做得很好,或者更深入地介绍了 Bruce Schneier 的密码学基础是一个好地方
也许您可以向我们提供一些有关 PKI、委托、微软等以及您组织规模的信息?