User Tools

Site Tools


public:project:caidc

Table of Contents

CA in da Cloud

Wir bauen wieder eine CA. Aber diesmal von vorherein in der Cloud. Serverless. Die grundlegenden Infos finden sich hier. Als Cloud wird uns die Azure dienen.
Dabei werden die CA-Zertifikate entweder auf VMs in der Cloud oder auf einem Raspi erstellt und diese dann heruntergefahren. Die Zertifikate werden über einen POST Request an eine Function App geschickt, diese wird mit dem Intermediate Zertifikate aus einem private Blob mittels openssl-Befehl ein Zertifikate zurückschicken. Die CRL wird als public Blob abgelegt und veröffentlicht, auf einen OCSP wird verzichtet.
Es wird ein Mgmt-Summary und Pläne für etwaige Situationen (Zertifikat sperren,…) erstellt (CPS).
Die Zertifikate werden massenhaft an andere Hackerspaces ausgegeben und damit wird die CA aktiv. Dann wird nacheinander ein Truststorebetreiber, beginnend mit Microsoft überzeugt uns in ihren Store aufzunehmen.

Fahrplan

  • Gesellschaftsform evaluieren (Verein/Non-Profit)
  • Azure Account und Studentengutschein einlösen.
  • Evaluieren ob die CA-Zertifikate in der Cloud oder lokal erstellt werden.
    • Lokal ist billiger (VM liegt nicht im Blob)/sicherer
    • CRL signieren wird potentiell schwieriger
  • CA aufsetzen und Zertifikate platzieren
  • Evaluieren
    • wie wird URL und Email überprüft
    • wie wird Sperranfrage überprüft
  • Function Apps schreiben und testen
    • Zertifikat ausgeben
    • Zertifikat sperren
  • Mgmt-Zeugs schreiben (evtl von der A-Trust oder DE-Trust inspirieren lassen)
  • Zertifikate ausgeben
  • Truststores anschreiben

Mitglieder

  • Lithilion (Lead)
public/project/caidc.txt · Last modified: 2019/12/01 14:54 by lithilion