在我的工作地点,我们多年来一直没有内部的证书颁发机构。 这对我们是有效的,因为没有可信实体没有明显的影响。 然而,现在看来,这种趋势很快就被扭转了 – 大多数新技术现在都不愿意与不可信实体进行可靠的沟通。
不幸的是,我是第一个提到我们公司应该build立一个内部authentication机构的人,所以我负责实现它(尽pipe我不知道自己在做什么)。 我的问题涉及build立和维护CA所需的努力。 此外,我想validation,我是正确的select在serverfault问这个问题,而不是stackoverflow(这是更多的“服务器组”比“软件开发”野兽,对不对?)
我的主要问题 :设立CA是否需要雇用专门维护CA的常驻专家/专职人员? 或者这是一种“一劳永逸”的野兽types?
我是一名贸易软件工程师,担心我的职业生涯将会受到严重的阻碍。 我的雇主已经想要为一切使用证书(无线安全,代码签名,服务器authentication,电子邮件签名,名单继续…)
我应该担心吗? 帮帮我!
编辑 – 附加信息:
我的雇主在国际上雇用2000-3000。 我们是一家微软公司。
据我所知,我们要利用PKI进行以下工作:
我把PKI架构当做我的日常工作,答案是它取决于你的组织规模,你打算实施的PKI以及系统和你的内部监控的build立。
如果你的组织很大,那么将会有很多带有证书的机器,这些证书到期,需要更换等等,但是我的经验是一旦你部署了证书,那么任何一台机器与另一台机器的通信失败都被认为是在证书之前最基本的诊断是执行的。 我见过authentication指责只发现networking电缆拔掉。
其结果是,在任何大型组织中,您都会花费大量时间来帮助解决这些问题。
我也担心,由于PKI是一个重要的安全系统,你确实需要了解理论和基础,以使其成为价值而不是妥协。
有很多复杂的描述,但是Shon Harris在她的CISSP书中做得很好,或者更深入的介绍Bruce Schneier的密码学基础是一个很好的地方
也许你可以给我们一些关于PKI,委托,微软等的信息和你的组织的大小?
一个CA真的不需要有人全职坐下来。 当然,好的文档和其他文档都很重要,但是它们不够复杂,无法聘用Guru。 如果你对自己的工作没有什么真正的想法,聘请一个真正了解他们做什么的人可能需要设置它,但是我无法想象这需要花费几天的时间要真正把它整理出来,不pipe你用的是什么。
我也在$ job处理了大量的PKI实现,并补充说,只要你不需要全职的CApipe理员。
有了一些好的工具和基本的文档,颁发和撤销证书的过程应该足够简单,任何人都可以执行。 我们不得不采取一些内部的发展来弥补这个差距。 没有,它可能会成为一个行政噩梦,而不是技术上的噩梦。