Een programma waarvoor ik een add-on schrijf gebruikt certificates om bepaalde content te checken.
Hierin heb ik een aanpassing gedaan zodat niet alleen de root-certificate van het betreffende programma geaccepteerd wordt, maar ook een eigen nieuw root certificate werkt.
Op deze manier kan ik dus ook custom content toevoegen mits mijn add-on is geladen
Al dit werkt al, maar ik zit nog een beetje in de knoop met een aantal certificate gerelateerde dingen:
een CRL (Certificate Revocation List) moet aanwezig zijn, en moet eens in de zoveel tijd aangepast worden. Echter om dat elke maand handmatig te doen is me eigenlijk een beetje te veel werk.
Maar om dit automatisch op de web-server te laten doen is een risico, aangezien de private-key dan ook daarop moet staan, en het al eens gebeurd is dat mensen via lekken in bijvoorbeeld IPB op de server zijn binnen gedrongen.
Omdat ik de boomstructuur van de originele certificaten zoveel mogelijk probeer na te bootsen, heb ik nu ongeveer 3 certificate authorities nodig:
Root certificate
Content PCA (Poliy Certificate Authority)
Content Authentication CA (Certificate Authority)
Het certificaat om content mee te signen.
Het leek mij misschien een optie om de root certificate handmatig te CRLen, en hierbij de levensduur van de CRL vrij hoog te zetten (bijv. een half jaar), terwijl in de PCA en CA op de server laat genereren, met een korte levensduur (bijv. maand).
Hiermee kan ik eind certificates toch netjes revoken via de CA, maar mocht de server gehacked worden en de private keys van de PCA en CA gestolen worden, dan kan ik deze alsnog revoken vanuit de Root. Ik weet dan alleen niet of het dan daadwerkelijk een half-jaar duurt voordat dit bij alle clients geupdate is.
Wat is hierbij een verstandige beslissing ?
De certificaten maak ik met OpenSSL, thuis op Windows XP, en op de server zou het op Redhat linux gebeuren.
Hierin heb ik een aanpassing gedaan zodat niet alleen de root-certificate van het betreffende programma geaccepteerd wordt, maar ook een eigen nieuw root certificate werkt.
Op deze manier kan ik dus ook custom content toevoegen mits mijn add-on is geladen
Al dit werkt al, maar ik zit nog een beetje in de knoop met een aantal certificate gerelateerde dingen:
een CRL (Certificate Revocation List) moet aanwezig zijn, en moet eens in de zoveel tijd aangepast worden. Echter om dat elke maand handmatig te doen is me eigenlijk een beetje te veel werk.
Maar om dit automatisch op de web-server te laten doen is een risico, aangezien de private-key dan ook daarop moet staan, en het al eens gebeurd is dat mensen via lekken in bijvoorbeeld IPB op de server zijn binnen gedrongen.
Omdat ik de boomstructuur van de originele certificaten zoveel mogelijk probeer na te bootsen, heb ik nu ongeveer 3 certificate authorities nodig:
Root certificate
Content PCA (Poliy Certificate Authority)
Content Authentication CA (Certificate Authority)
Het certificaat om content mee te signen.
Het leek mij misschien een optie om de root certificate handmatig te CRLen, en hierbij de levensduur van de CRL vrij hoog te zetten (bijv. een half jaar), terwijl in de PCA en CA op de server laat genereren, met een korte levensduur (bijv. maand).
Hiermee kan ik eind certificates toch netjes revoken via de CA, maar mocht de server gehacked worden en de private keys van de PCA en CA gestolen worden, dan kan ik deze alsnog revoken vanuit de Root. Ik weet dan alleen niet of het dan daadwerkelijk een half-jaar duurt voordat dit bij alle clients geupdate is.
Wat is hierbij een verstandige beslissing ?
De certificaten maak ik met OpenSSL, thuis op Windows XP, en op de server zou het op Redhat linux gebeuren.
[img=http://www.web2messenger.com/smallstatus/w2m/theblasp.png]
:strip_icc():strip_exif()/u/25852/bowmore_18k.jpg?f=community)
/u/28121/avatar_kleiner.png?f=community){kind=avatar}
Maar het klinkt wel erg groot hoe die CA structuur in elkaar zit. Op zich had je het ook zo kunnen doen dat je locale RA's gebruikt. Althans, zo gebeurt het in mijn wereldje. Dat zijn mensen die weten wie er in een bepaalde tak van de namespace thuis hoort, zoals Sara, AMC, VU, Nikhef, <vul maar in>. Die namespace is gereserveerd voor een bepaalde organisatie en kan je niet buiten gaan. Dat is een manier waardoor je middels beleidswegen nog steeds je vertakte structuur kan terug vinden, maar met minder lagen, leg je meer macht terug bij de CA. In dit geval om eenvoudigere audits te kunnen doen van je CA en met minder mensen dezelfde soort vertakkingen te kunnen handhaven. Ook kan de CA zijn signing beleid aanpassen en heeft het directer effect op de uitgegeven certificaten.