È possibile fidarsi di un certificato in Windows, senza fidarsi della sua CA principale?

È possibile far sì che Windows si fidi di un certificato, senza che esso si fidi della CA principale come CA principale attendibile?

dire che ho la seguente catena di certificati,

Dept-Root-CA
Dept-Intermediate-1
Server-Certificate

Voglio fidarmi del Server-Certificate, ma non voglio fidarmi di Dept-Root-CA perché allora potrebbe firmare qualsiasi certificato e i miei server se ne fiderebbero. Solo perché sono disposto a fidarmi del certificato su Server-Certificate per un'operazione specifica, non significa che sono disposto a fidarmi che Dept-Root-CA sia stato adeguatamente protetto.

Grazie

windows ssl

— BKR
fonte

Di cosa vuoi fidarti esattamente? HTTPS? O qualche altra cosa? Ci sono modi per indicare che si desidera accettare un unico certificato senza accettare qualsiasi altra cosa dalla CA principale, ma dipende da quello che stai facendo. (Sarà ancora ottenere errori se si tenta di convalidare il CERT però)

— Mark Henderson

Essenzialmente sì. Se fosse un codice personalizzato, non sarebbe un problema, ma questo utilizza ADFS 2 e l'unica cosa che posso fare per quanto riguarda il modo in cui tratta i certificati è cambiare il modo in cui il server si fida di quel certificato. Ci sono anche altri casi, ma questo è solo l'esempio attuale.

— 1313

Risposte:

No. Fintanto che il certificato dice "Rilasciato da: xxx", devi anche fidarti di xxx, fino in cima alla catena. Se si tratta di un certificato autofirmato, è possibile inserirlo nell'archivio CA della radice attendibile e, poiché è emesso e rilasciato dalla stessa entità, dovrebbe essere considerato attendibile.

Ma non è generalmente fattibile o consigliabile eludere completamente lo scopo della sicurezza basata su certificati.

— Ryan Ries
fonte

Ne avevo paura. Non lo definirei elusione però. Solo perché voglio che un canale sicuro parli con una macchina in un diverso gruppo organizzativo non significa che voglio fidarmi della loro CA.

— 1313

Giusto ... ma la CA ha firmato quel certificato, e senza tale CA l'altro capo può semplicemente continuare a cambiare il proprio certificato.

— SpacemanSpiff

Non sono sicuro di capire quello che stai dicendo. Voglio fidarmi esplicitamente del loro certificato. Se fosse cambiato, avrei dovuto fidarmi esplicitamente di nuovo. Fondamentalmente voglio il modello di attendibilità dei certificati come in Firefox. In Firefox, se il certificato non è valido con le autorità di certificazione attendibili esistenti, puoi comunque scegliere di fidarti di esso - se cambia, dovrai scegliere di fidarti del nuovo certificato perché non è stato esplicitamente considerato attendibile.

— bkr

just keep changing their certificateSe l'estremità remota ha cambiato il suo certificato, non corrisponderebbe a quello che hai salvato. Se ignori tutto il business CA, non lo stai trattando come una chiave host SSH.

— Zoredache,

realisticamente lo cambieranno solo una volta ogni 2 anni. il prodotto MS che sto utilizzando richiede che la connessione sia protetta tramite https. quindi deve essere attendibile. poiché è firmato con la loro CA, dovrei fidarmi della loro CA - Non voglio farlo perché ciò consentirebbe loro di falsificare qualsiasi certificato sul mio server, invece di consentire loro un'interazione limitata con un nome host specifico.

— 1313

Bene .... Si potrebbe acquisire quelle informazioni la fiducia in un altro modo.

Purtroppo è un po 'complicato.

Crea la tua CA, quindi crea il tuo emittente cross-sign per Dept-Intermediate-1 (o Dept-Root-CA) firmando il loro certificato con la tua CA, eventualmente aggiungendo restrizioni di dominio. Se il Dep-Intermediate-1 "reale" è disattivato (preferibilmente) o sconosciuto, Windows utilizzerà invece la catena di fiducia.

Vedi la mia altra risposta qui: Limitare un certificato radice a un dominio

È così che dovrebbero funzionare i certificati, usando le firme digitali per rappresentare un'affermazione della proprietà chiave. Dato che vuoi affermare che il certificato e la chiave appartengono al server, lo firmi da solo, sotto la tua autorità, e poi dici al sistema di fidarti di te.

C'è ancora un sacco di utility in un certificato , senza una gerarchia di CA, sopra quello che forniscono chiavi SSH; parte di ciò sono le restrizioni su di essi. Utilizzo chiave, date di validità, informazioni di revoca, restrizioni del dominio, ecc. L'altra parte sono le informazioni identificative; server che possiede la chiave, l'identità dell'emittente, i criteri CA applicati, le informazioni di archiviazione della chiave, ecc.

— davenpcj
fonte

Questo è interessante. Dovrò trovare un po 'di tempo per provare a lavorare attraverso questo processo e vedere se riesco a farlo funzionare.

— BKR