Kérdéseim:
- Ha megvan a kulcs és exportálni is tudod, akkor mi a gond?
Ehhez kapcsolódóan ugye a privát kulcsot védeni kell. Ha szoftveres védelem van és nincs nagyon nyomós indokod, akkor SOHA ne vidd át máshová a privát kulcsot! Mindig ott generáld a CSR-t, ahol a tanúsítványt később fel fogod használni. Így a privát kulcsnak sose kell elhagynia a rendszert.
- Mit értesz szabványos formátum alatt? A PKCS8, PKCS12, PEM, DER stb. mind szabványos formátum.
Mely formátumok ekvivalensek egymással - kis túlzással:
PEM = Base64 enkódolt formátum, szöveges fájl, leggyakrabban használt
DER = bináris formátum
A PKCS szabványok - bármelyik lehet PEM és DER formátumban is - leegyszerűsítve:
PKCS8 = privát kulcs
PKCS10 = CSR
PKCS12 = mindent tartalmaz (privát kulcsot és a tanúsítványt is, akár a tanúsítványláncot is), jelszóval védett
- Egy step-by-step leírást nem olyan nehéz csinálni, Egyszer összerakod, akkor bármelyik kolléga* végre tudja hajtani.
*: Csak ne adj túl sok jogot mindegyik kollégának. Nehogy pl. visszavonja a CA saját tanúsítványát.
- Elárulod, hogy mi a teljes use case, amit le akarsz fedni?
Én a következőt tudnám elképzelni a leírásod alapján:
1. Valahol valakinek/valaminek szüksége van X509 tanúsítványra. Ezt a valamit hívjuk mondjuk igénylőnek. Csak szoftveres eszközök vannak, biztonságos kulcstároló (hw token), HSM nincs a rendszerben. Csak Windows CA-d van, elég, ha ez cégen belül működik.
2. Az admin az igénylő rendszerben legenerál egy CSR-t. A privát kulcs csak az igénylő rendszerben létezik. A privát kulcs exportálható vagy sem - utóbbi a biztonságosabb.
3. Next-next-finish módszerrel beküldöd a CSR-t a Windows CA-nak, ami a beállított template-k alapján kiállít egy X509 tanúsítványt. A Windows CA-ban ez a tanúsítvány lesz elérhető, letölthető.
4. Az igénylő a Windows beépített metódusain keresztül megkapja a Windows CA-tól a tanúsítványt. Az igénylő a saját tanúsítványtárában (Windows beépített) összepárosítja a CSR-t, a privát kulcsot és a kiadott tanúsítványt.
5. A tanúsítvány használható. Mindenki boldog.
Hol a hiba a fenti leírásomban? Mi maradt ki? Mi az, amit netalán másképp szeretnél?