Как стать автором
Обновить

Прописываем процедуру экстренного доступа к хостам SSH с аппаратными ключами

Время на прочтение 4 мин
Количество просмотров 8.7K
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 6

Комментарии 6

Кажется идея с помещением CA на аппаратный защищённый носитель первый раз в жизни заставила меня задуматься о его, носителя, приобретении.

Это плохая идея. На аппаратном носителе лучше держать промежуточные центры сертификации. А ключ и сертификат самого CA сгенерировать на изолированной системе, записать на бумагу и CD, запечатать в конверт, изолированную систему утилизировать.

А если сравнивать с CA на обычной рабочей станции админа, ну или виртуалке в общей сети предприятяи, без особых мер защиты кроме стандартных линуксовых файловых разрешений?

Если скомпрометирована рабочая станция админа/виртуалка с CA, то нужно везде удалить сертификат CA и прописать новый. Где-то «разлить» сторонними средствами, где-то ногами и руками сходить.
Если скомпрометирована рабочая станция админа/виртуалка с промежуточным CA, то этот промежуточный CA отзывается отзывается штатными средствами.
я правильно понимаю, что можно заранее сгенерировать промежуточные СА (т.е. например 2 промежуточных СА со сроком действия в 6 месяцев — с 06.2020 до 12.2020 и с 12.2020 до 06.2021) и потом, как подходит время — без спешки их доставать из того же (или соседнего) сейфа?
Мой комментарий больше про боль в случае поломки аппаратного токена с ключами. В статье, как бы упомянут мифический «дополнительный аппаратный ключ для резервной копии», но это не очень сочетается с неизвлекаемостью.

Можно и заранее нагенерить промежуточные CA.

По-хорошему, нужно ещё регулярно выпускать списки отзыва сертификатов.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий