Certificate
每個服務或每個伺服器的 PKI 密鑰?
我們都有很多內部服務需要某種 PKI 提供加密和身份驗證。
為每個服務使用不同的私鑰/公鑰對所帶來的安全收益是否證明了所需的額外工作是合理的?
還是每個伺服器使用一個密鑰對足夠好?
例如,我所有的 *nix 伺服器都執行 rsyslog、Bacula 和 Puppet。在所有三個服務中使用通用的、特定於伺服器的密鑰對會打開我忽略的攻擊向量嗎?
例如,我所有的nix 伺服器都執行 rsyslog、Bacula 和 Puppet。在所有三個服務中使用通用的、特定於伺服器的密鑰對會打開我忽略的攻擊向量嗎?*
我沒有部署 PKI 的樂趣(痛苦?),但我已經處理了證書。我懷疑每個伺服器都可以,只要您使用的加密質量很高(即不是一種容易受到攻擊並使用良好長度密鑰的舊方法)。
可用的密文越多,就越容易破解。話雖如此,所有安全性都是一種權衡。您需要考慮一下您將證書用於什麼目的?加密?驗證?如果有妥協會發生什麼?這對減少需要跟踪的證書的管理利益有何影響。您正在使用 puppet,因此減少了一些管理成本。
我們在內部系統上盡可能使用自定義根證書和單個萬用字元密鑰對。這主要是為了阻止臨時嗅探器獲取密碼。我確信一個堅定的黑客會找到辦法。我們的證書剛剛過期,我們已經建立了 puppet 基礎設施來分發密鑰並重新啟動服務。明年我們只需要檢查新的密鑰進入顛覆,而 puppet 應該做剩下的事情。