Benötigt eine Zertifizierungsstelle einen Vollzeitadministrator?

7

An meinem Arbeitsplatz sind wir im Laufe der Jahre ohne interne Zertifizierungsstelle vorbeigekommen. Dies hat bei uns funktioniert, da es keine sichtbaren Auswirkungen gab, wenn keine vertrauenswürdigen Entitäten vorhanden waren. Es scheint jedoch, dass sich dieser Trend jetzt schnell umgekehrt hat - der Großteil der neuen Technologien wird sich jetzt dem Gedanken widersetzen, eine vertrauenswürdige Kommunikation mit einer nicht vertrauenswürdigen Entität durchzuführen.

Leider war ich der erste, der erwähnte, dass unser Unternehmen eine interne Zertifizierungsstelle einrichten sollte, daher bin ich dafür verantwortlich, dass dies geschieht (obwohl ich keine Ahnung habe, was ich tue). Meine Frage bezieht sich auf den Aufwand für die Einrichtung und Wartung einer Zertifizierungsstelle. Außerdem möchte ich überprüfen, ob ich diese Frage bei Serverfault anstelle von Stackoverflow richtig gestellt habe (dies ist eher ein "Servergruppen" -Tier als ein "Softwareentwickler" -Tier, oder?)

Meine Hauptfrage : Gewährleistet die Einrichtung einer Zertifizierungsstelle die Einstellung eines Experten / Vollzeitbeschäftigten, der für die Wartung der Zertifizierungsstelle zuständig ist? Oder ist es eine Art "Set and Forget" -Tier?

Ich bin von Beruf Software-Ingenieur und mache mir Sorgen, dass meine Karriere stark ins Wanken geraten wird. Mein Arbeitgeber möchte bereits Zertifikate für ALLES verwenden (drahtlose Sicherheit, Codesignatur, Serverauthentifizierung, E-Mail-Signatur, die Liste geht weiter ...)

Sollte ich besorgt sein? HILFE!

Bearbeiten - Zusätzliche Informationen:

Mein Arbeitgeber beschäftigt 2000-3000 international. Wir sind ein Microsoft-Unternehmen.

Soweit mir bekannt ist, möchten wir PKI für Folgendes verwenden:

  • E-Mails signieren.
  • Signieren von Dokumenten (Word, PDF usw.).
  • Signiercode (ClickOnce).
  • Vertrauenswürdigkeit unserer Server (für RDP-Sitzungen Terminaldienste).
  • Internes https.
  • Drahtlose Sicherheit / Authentifizierung.
security authentication certificate James Jones
quelle
Können Sie etwas näher erläutern, wofür Sie eine Zertifizierungsstelle benötigen?
Zoredache
@ Zoredache Fertig.
James Jones

Antworten:

5

Ich mache PKI-Architektur als meine tägliche Arbeit. Die Antwort ist, dass dies von der Größe Ihrer Organisation, der PKI, die Sie implementieren möchten, und der Einrichtung des Systems und Ihrer internen Überwachung abhängt.

Wenn Ihre Organisation groß ist, gibt es viele Computer mit Zertifikaten. Diese Zertifikate verfallen, müssen ersetzt werden. Meine Erfahrung ist jedoch, dass nach dem Bereitstellen von Zertifikaten ein Fehler bei der Kommunikation eines Computers mit einem anderen Computer bereits vor den Zertifikaten dafür verantwortlich gemacht wurde Die grundlegendsten Diagnosen werden durchgeführt. Ich habe Zertifikate gesehen, die nur beschuldigt wurden, das Netzwerkkabel abgezogen zu haben.

Das Ergebnis ist, dass Sie in jeder großen Organisation viel Zeit damit verbringen werden, gerufen zu werden, um bei diesen Problemen zu helfen.

Ich würde mir auch Sorgen machen, dass Sie, da die PKI ein wichtiges Sicherheitssystem ist, die Theorie und die Grundlagen wirklich verstehen müssen, um sie wertvoll zu machen und sie nicht zu gefährden.

Es gibt viele komplexe Beschreibungen, aber Shon Harris macht es gut in ihrem CISSP-Buch oder für eine ausführlichere Einführung Fundamentals of Cryptography von Bruce Schneier ist ein guter Ort

Vielleicht könnten Sie uns einige Informationen über die PKI, das Vertrauen, Microsoft usw. und die Größe Ihrer Organisation geben?

Mark Sutton
quelle
Meine Bearbeitung enthält die zusätzlichen Informationen. Glücklicherweise bin ich mit Kryptographie bereits vertraut, da ich sie während des Studiums und in meiner Freizeit studiert habe.
James Jones
Hervorragend, Sie sehen einen ziemlich komplexen Teil des Designs und der Implementierung angesichts des Umfangs der Zertifikatsverwendung und der Anzahl der Endbenutzer und Entitäten. Es ist sicherlich die Größe und der Umfang des Projekts, das Unternehmen in der ersten Erfahrung einstellen würden, es könnte viel Zeit und Kosten sparen. Sobald Sie mit Ihnen auf dem Laufenden sind, sollte die Wartungsseite überschaubar sein, insbesondere wenn es sich bei Ihrem Build um die Microsoft Certificate Services-Lösung handelt. Windows Server 2003 PKI Certificate Security ist ein gutes Buch von Microsoft Press, wenn Sie sich entscheiden, es selbst auszuführen.
Mark Sutton
Meine Website ist www.blacktipconsulting.com. Wenn Sie das Kontaktformular verwenden, um mir Ihre E-Mail zu senden, sende ich Ihnen einige PDFs und Dinge, die helfen könnten
Mark Sutton
4

Eine Zertifizierungsstelle braucht wirklich niemanden, der sich ganztägig um das Baby kümmert. Natürlich sind gute Dokumente und dergleichen wichtig, aber sie sind einfach nicht kompliziert genug, um einen Guru einzustellen. Wenn Sie keine wirkliche Vorstellung davon haben, was Sie tun, kann es gerechtfertigt sein, jemanden einzustellen, der wirklich weiß, was er tut, um es einzurichten, aber ich kann mir nicht vorstellen, dass es länger als ein paar Tage dauern würde um es wirklich zu klären, unabhängig davon, wofür Sie es verwenden.

womble
quelle
@womble: Sieht so aus, als hätte ich dein Top 10K verpasst. Glücklicher verspäteter 10K Tag!
Evan Anderson
0

Ich beschäftige mich auch mit einer Menge PKI-Implementierung bei $ job und würde hinzufügen, dass Sie keinen Vollzeit-CA-Administrator benötigen, solange Sie ..

  • Beachten Sie Marks Rat (+1) zur Schuldkultur und zum Verständnis von PKI, PKCS usw.
  • Stellen Sie sicher, dass Sie über die ausreichenden Tools verfügen, um es vom ersten Tag an zu verwalten.

Mit einigen guten Dienstprogrammen und grundlegenden Dokumentationen sollte das Ausstellen und Widerrufen von Zertifikaten für jeden einfach genug sein. Wir mussten einige interne Entwicklungen vornehmen, um diese Lücke zu schließen. Ohne kann es ein administrativer Albtraum werden, kein technischer.

Dan Carley
quelle