C'è spazio OID riservato per le CA aziendali interne?

13

Quando si effettua il provisioning di una PKI per uso interno, esiste uno spazio OID privato che può essere utilizzato senza dover pagare e / o registrare il proprio intervallo OID? Pensa agli indirizzi RFC1918 per gli intervalli OID.

pki oid

— MDMarra
fonte

13

Puoi registrare un'impresa privata e quindi un OID verrà assegnato per il tuo uso come ritieni opportuno. Non ci sono costi.

Sarà sotto iso.org.dod.internet.private.enterprise(1.3.6.1.4.1).

Ad esempio, la mia azienda può utilizzare: 1.3.6.1.4.1.17992 per qualsiasi applicazione interna e pubblicata che sviluppiamo.

Come punti voretaq7 fuori, è necessario internamente organizzare e tenere traccia di come si struttura delle informazioni sotto il nodo assegnato. Ma questo è il tuo problema. :)

Si noti che mentre la pagina di registrazione dice:

generalmente utilizzato nelle configurazioni della Base di informazioni sulla gestione di Simple Network Management Protocol

questo è solo perché SNMP è l'uso più comune. Sono per uso generale.

— MikeyB
fonte

6

La struttura dell'albero OID nella tua azienda è ovviamente il tuo problema. Per esempio 1.3.6.1.4.1.###.1potrebbe essere personalizzato SNMP OID di monitoraggio, 1.3.6.1.4.1.###.2potrebbe essere attributi LDAP personalizzati, 1.3.6.1.4.1.###.3potrebbe essere certificato politiche, ecc ... - Costruire qualcosa di sensato, o almeno avere una gerarchia di livello superiore di ampie categorie.

— voretaq7,

@MDMarra Per quanto ne so IANA (e lo standard ASN.1) non impone alcuna restrizione formale su come si utilizza lo spazio OID con il proprio numero aziendale. I MIB SNMP personalizzati sono solo il motivo più comune per cui le organizzazioni richiedono un OID (ad esempio Cisco ha un enorme albero tentacolare) e il luogo in cui le persone sono più abituate a vedere spuntare gli OID. L'importante è che usi il tuo spazio OID e non ne prenda solo un numero, altrimenti potresti scoprire che l'OID "Swap Space Used" personalizzato della tua azienda è lo "stato di fornitura PSU 2" di Cisco

— voretaq7,

3

Non sono un esperto, ma sembra che gli OID da 1.3.9900 a 1.3.9999 possano essere considerati tali OID di "uso interno":

Secondo http://oid-info.com/get/1.3 :

I partner intercambiabili possono voler, previo accordo, scambiare identificatori di organizzazione assegnati da uno schema di identificazione a cui è stato assegnato un valore ICD o per i quali è in sospeso l'assegnazione di un valore ICD. L'intervallo di valori ICD compreso tra 9900 e 9999 è riservato per tale effetto. I partner di interscambio devono concordare l'identificazione del sistema di identificazione, utilizzando uno dei valori riservati sopra indicati.

Un rapporto di interoperabilità pubblica dell'UCA International Users Group ("una società senza scopo di lucro focalizzata sull'assistenza agli utenti e ai fornitori nell'implementazione degli standard [...]") sembra confermarlo (pagina 7-15, numero 39) :

[...] Nel caso del 1.1.999.xy, è chiaro che si è trattato di un tentativo di specificare un OID privato . I valori appropriati per questo sono 1.3.9999 .xx.yy.

— Cédric Dufour
fonte