摆脱手动更新的X.509证书的疯狂

微软’s 活动目录 (广告 )是迄今为止使用最广泛的数字身份企业存储库。 微软 活动目录证书服务(广告 CS)是Windows Server的集成,可选组件,旨在发布 数字证书.

由于它是内置的“免费”选项,因此ADCS受到全世界企业的广泛欢迎也就不足为奇了。本地或云/混合公钥基础架构(公钥基础设施)已被证明比密码更安全,更易于使用,并且将自动证书管理集成到AD中后,处理起来也容易得多。

对于运行AD环境的组织,利用已经包含在Microsoft证书服务中的证书模板信息的能力可以使运行Microsoft 认证机构极具吸引力。由于已连接AD和Microsoft证书服务,因此您可以基于组策略无缝地将证书注册并置备到所有域连接的对象。自动注册和静默安装使IT管理员和最终用户都可以轻松地进行证书注册和续订。

微软 认证机构的最大优点之一是自动化,但是该优点并没有扩展到Windows环境之外的端点。不幸的是,目前没有免费或开源的Linux,UNIX或Mac工具可提供自动注册或与Microsoft 认证机构集成。唯一的“免费”选项是使用复杂且容易出错的命令从Microsoft 认证机构手动创建和续订证书。

在企业网络中,Linux通常用于需要X.509可信证书的关键服务。一种典型的需求是在Red Hat Enterprise Linux上获得SSL / TLS服务器认证证书或Web服务器证书(RHEL),Ubuntu服务器或其他Linux发行版。在许多其他端点(包括基于macOS的系统)上通常也需要证书,以为企业应用程序提供可信的安全性。

在Linux,UNIX或macOS上手动创建X.509证书的传统过程需要具备PKI知识的工作水平,并且可能需要三到六个小时才能完成。您必须生成一个密钥对,创建一个证书签名请求(企业社会责任),将其提交给证书颁发机构(认证机构),请等待PKI管理员颁发证书,下载证书,使用该服务配置和更新应用程序,最后验证其是否处于活动状态。图1显示了使用Open SSL创建CSR所涉及的示例。

信息系统

图1.使用OpenSSL创建CSR需要了解有关密钥和证书的企业PKI策略,并需要手工填写许多细节。

几年前,当多年的证书使用期限是常态,而证书的数量却减少时,一些手动颁发的证书并不是一个大问题。当出现Linux或Mac系统之类的异常时,将一次性处理这些异常。反过来,这导致了手动流程的创建。可以通过使用电子表格轻松跟踪证书来证明这样的过程是合理的,并且由于数量很小且证书的更新间隔了数年,因此,当现有解决方案获得产品来解决问题时,就不值得付出努力了足够了。

但是,现在,这无疑已经改变了。苹果,谷歌和Mozilla实施了自2020年9月1日起生效的政策,并说有效期超过398天的任何新网站证书将不会被其各自的浏览器信任,而将被拒绝。需要证书的设备和应用程序数量急剧增加,这常常增加到证书管理问题,通常达到数千或更多。

纵观整个行业,有第三方证书管理系统(CMS)可以更广泛地实现企业证书流程的自动化,但是此类系统需要进行大规模的“淘汰和替换”。您必须将每个Linux系统与Active Directory进行深入集成,包括同时切换系统用户身份验证。

这就要求对现有的Linux和Microsoft基础架构进行大量更改,对人员进行重新培训,并增加软件许可成本。对于复杂的PKI,“淘汰和替换”方法还要求实施时间从几个月到几年不等。

一旦完成了实施过程,这种方法的优势就是端到端的自动化。使用CMS创建证书时,它具有所需的所有数据,不仅可以监视证书的到期时间,还可以自动配置替换证书而无需人工干预。

尽管某些CMS解决方案的安装非常复杂,昂贵且耗时,但是新一代的CMS产品旨在简单地扩展基于Microsoft的PKI,以涵盖Active Directory范围之外的系统和应用程序上的证书。

此类系统将安装到现有的Microsoft 广告 CS环境中,并将Windows证书自动注册镜像到Linux,Unix或macOS系统。证书可以由注册计算机从中央管理控制台自动创建。或者,如图2所示,终端节点的管理员可以使用一个简单的命令来请求证书,而无需知道如何创建密钥对,生成证书请求或知道如何翻译难以理解的注册模板,格式和属性要求。

信息系统

图2.通过自动化极大地简化了CSR的创建,并且不需要PKI专业知识。

颁发后,此命令将自动创建CSR,将其提交给企业Microsoft 认证机构,并在颁发证书后安装证书。这是使用存储在企业CA上的预配置PKI策略完成的。这些策略是根据证书的角色或目的设置的。由于这些政策是预先定义的,因此系统管理员无需了解他们要设置的系统角色或用途的任何信息。

证书安装完成后,管理员可以在知道企业CA将自动续订证书而无需进一步干预的情况下继续执行其他任务。并且由于该证书是由企业CA创建的并且不是自签名的,因此该证书可由企业中的任何应用程序自动验证。

随着证书寿命已经越来越短,并且有可能继续缩短,对自动证书管理的需求从未如此强烈。尽管Microsoft 认证机构解决了Active Directory环境中的自动化挑战,但仍有太多企业仍依赖非Microsoft系统和应用程序的手动过程。与其花费大量的金钱和破坏而不是放弃Microsoft 认证机构,不如考虑使用证书管理选项来为整个企业带来ADCS的好处。

分享这个