Para un servidor de intranet utilizo un certificado autofirmado en el que quiero confiar en todo el sistema. Agregué la excepción de certificado a Firefox, pero esto no es posible en Chrome, aplicaciones de consola, IDE,...
Es por eso que quiero que todo el sistema confíe en el certificado. Según tengo entendido, la forma recomendada es instalarlo como CA raíz:https://blogs.technet.microsoft.com/sbs/2008/05/08/installing-a-self-signed-certificate-as-a-trusted-root-ca-in-windows-vista/
Como también lo entendí, esto significa que quien controla el certificado autofirmado ahora controla una autoridad raíz que puede firmar certificados falsificados paracualquiersitio en mi máquina. ¿Es esto cierto? En caso afirmativo, ¿cómo puedo evitarlo? Solo quiero tener un único servidor de intranet autofirmado, no potencialmente todos los servicios que uso.
¿Cuál es la forma recomendada de tratar con TLS de intranet aquí?
Respuesta1
Si el servidor está bajo su control:
- Crear unactualCA raíz (por ejemplo, con función de CA easy-rsa o Xca o Windows Server).
- Reemplace el certificado de servidor autofirmado por uno emitido por su CA personalizada.
- Asegúrese de que el certificado que acaba de emitir esté realmente marcado como certificado "hoja"/"entidad final". Busque la extensión "Restricciones básicas X.509v3"; debe estar presente y decir "CA: FALSE".
- Instale el certificado raíz de la CA personalizada en su computadora.
- Guarde de forma segura la clave privada de la CA para que solo sea accesible cuando necesite emitir un nuevo certificado.
Como el certificado del servidor contiene "Restricciones básicas: CA: FALSO", no podrá emitir nuevos certificados utilizando únicamente su propia clave.
(La razón por la que necesita que la CA esté separada es porque la instalación directa del certificado autofirmado del servidor en la carpeta "CA confiable" puede hacer que el sistema ignore las restricciones básicas; después de todo, está instalado como una autoridad. La separación evita este problema. porque puede proteger las claves de CA raíz).
Como característica adicional, no necesitará volver a confiar en el certificado del servidor cuando caduque o cuando cambie su nombre; simplemente use la misma CA raíz para emitir un nuevo certificado.