Deploy Certificate Authority Best Practices

Il deploy di una Certificate Authority (CA) non è un’operazione che si esegue spesso, ma l’implementazione di tale servizio nell’infrastruttura è di grande rilevanza dal punto di vista della sicurezza. Inoltre occorre valutare attentamente le scelte architetturali in base al proprio scenario in quanto modificare l’implementazione di una CA una volta che è in produzione è molto oneroso dal punto di vista amministrativo e dei disservizi che può causare.

Di seguito cercherò di elencare per punti le attenzioni da tenere nell’implementazione della CA.

1. Per ottenere un buon compromesso tra semplicità architetturale e sicurezza della CA in infrastrutture piccole e medie conviene implementare una CA Two-tier con una Root CA tenuta offline ed una Subordinate CA tenuta online.

2. Il modo più corretto per eseguire il deploy di una Root CA offline è quello di configurarla come Standalone CA in Workgroup.

3. La Subordinate CA per poter utilizzare i Template durante il rilascio dei certificati dovrà essere una Enterprise CA e quindi membro di Active Directory.

4. La CRL, nel caso di una CA Two-tier dovrà risiedere in una posizione sempre online che la renderà disponibile tramite HTTP per essere fruita anche da client non Windows. Quindi una scelta possibile è quella di impostarla sulla Subordinate CA o per maggior sicurezza se dovrà essere esposta pubblicamente su un server web dedicato. E’ consigliale impostare l’URL della CA con un alias del nome FQDN dell’host che la ospiterà sia per evitare che nei certificati vengano incluse informazioni sull’infrastruttura che potrebbero essere utilizzate da attaccanti, sia per maggiore semplicità se in futuro diventa necessario memorizzare la CRL su di un server diverso

5. Non impostare il nome della CA uguale a quello NetBIOS o FQDN del computer della Root CA o di un altro host per evitare che nei certificati vengano incluse informazioni sull’infrastruttura che potrebbero essere utilizzate da attaccanti.

6. Configurare la posizione della CRL sulla Root CA prima di richiedere il certificato per la Subordinate CA e sulla Subordinate CA prima di richiedere i certificati.

7. Evitare il deploy dei ruoli della CA sui Domain Controller sia per motivi di sicurezza della CA e del DC sia perchè rende più difficoltoso la gestione del Domain Controller nel caso di migrazioni e restore.

Per maggiori informazioni e approfondimenti si vedano:

• Certification Authority Guidance
• Test Lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy
• Public Key Infrastructure Design Guidance
• Active Directory Certificate Services (AD CS) Public Key Infrastructure (PKI) Design Guide
• Windows PKI Documentation Reference and Library