我的公司有一个内部证书颁发机构,目前是自签名的。由于我们希望开始将其用于外部 SSL 和向客户发送安全电子邮件,因此我们需要对其进行信任。
有没有人知道获得内部 PKI 的可信根证书的成本是多少?4位数?5位数?6位数?我们雇佣了 2000-3000 名员工。
在我工作的地方,我们多年来一直在没有内部证书颁发机构的情况下溜达。这对我们有用,因为没有受信任的实体没有明显的影响。然而,现在这种趋势似乎已经迅速逆转——大多数新技术现在都不愿与不可信实体进行可信通信。
不幸的是,我是第一个提到我们公司应该建立内部 CA 的人,所以我负责实现它(尽管我不知道我在做什么)。我的问题涉及设置和维护 CA 所需的工作量。另外,我想验证我选择在 serverfault 上问这个问题是正确的,而不是 stackoverflow(这更像是“服务器组”野兽而不是“软件开发人员”野兽,对吗?)
我的主要问题是:设立 CA 是否需要聘请专门负责维护 CA 的常驻专家/全职人员?或者它是一种“一劳永逸”的野兽?
我是一名软件工程师,我担心我的职业生涯会严重偏离轨道。我的雇主已经想将证书用于一切(无线安全、代码签名、服务器身份验证、电子邮件签名,列表还在继续……)
我应该担心吗?帮助!
编辑 - 附加信息:
我的雇主在国际上雇佣了 2000-3000 名员工。我们是一家基于微软的公司。
据我所知,我们希望将 PKI 用于以下目的:
在我的工作地点,我们正在使用 Microsoft 产品建立 PKI 基础结构。我们在这里有一个完全干净的石板,并希望有一个良好的开端。我们想知道为什么有人会设置从属 CA。为什么不对所有事情都使用根 CA?设置从属 CA 有哪些优势?
谢谢。
我可能很久以前就应该问这个问题,我希望在这个论坛上被人嘲笑,但我需要找到这个看似基本问题的答案......
如果我打算托管一个 .NET Web 应用程序,为什么我要使用 Windows Server 而不是普通的 Windows?普通的 Windows 具有 IIS,因此它显然能够在某种程度上提供网页。我似乎找不到任何像样的文档。我想我只是一直认为 vanilla Windows 用于开发而 Windows Server 用于提供页面。任何人都可以为我阐明这个主题或为我指明一些文档的方向吗?
谢谢。
我们在过去和现在建立的 CA 中都观察到了一些令人费解的行为。由于某种我们不知道的原因,我们的 CA 似乎正在向我们的用户随机颁发“基本 EFS”证书。这通过 CA 上的“颁发的证书”日志很明显。我昨天亲自建立了一个 CA,在我安装证书服务的那一刻,它开始向我们的用户分发基本 EFS 证书。它们似乎是在随机时间发布的:凌晨 1:51、凌晨 2:20、然后是上午 7:54、然后是上午 8:03……等等
我查看了基本 EFS 的证书模板,甚至没有自动注册选项,所以我真的处于“WTF?!”的状态...
谁能告诉我为什么我的 CA 有自己的想法?CA 是否倾向于自我意识并抨击其所有者?请帮忙...
编辑:
好的,所以我做了一些挖掘,看起来所有用户都有注册权限。我非常怀疑所有这些用户是否明确要求这些证书。他们的计算机上必须有一些正在执行注册的服务正在运行。任何人都可以验证这一点吗?
我可能很久以前就应该问这个问题,我希望在这个论坛上被人嘲笑,但我需要找到这个看似基本问题的答案......
如果我打算托管一个 .NET Web 应用程序,为什么我要使用 Windows Server 而不是普通的 Windows?普通的 Windows 具有 IIS,因此它显然能够在某种程度上提供网页。我只能假设有一些限制 - 它们是什么?许可?连接数有限?我似乎找不到任何像样的文档。任何人都可以为我阐明这个主题或为我指明一些文档的方向吗?
谢谢。