ИБ шники сказали все секреты root-ca и int-ca загружаем на

флэшку. А флэшку в сейф. Я пытаюсь объяснить, что флэшка ХУЖЕ хранения в vault сервере. Они вот напирают, что если есть автооткрытие, значит небезопасно. А я напираю, что все в памяти и если не делать unseal, то хоть в ЦРУ отправь бд ничего они с ней не сделают без трех частей ключа.
Про автооткрытие написано как-то невнятно.
——
Мне бы просто такого чела, который уже мучался с ИБ шниками и знает аргументацию. Чтобы вопросы от ИБ мог бы переспросить. Может есть знакомый ИБшник который шарит в концепции vault сервера?

Можно в личку

На флешку не безопасно, тк данные можно редактировать. Нужно на CD-R

cd-r срок жизни 20 лет максимум. И то дорогие Verbatim. И то надо правильные найти.

На ленте писать надо и в архивный бункер складывать

Отвечу немного не по теме, прошу прощения. Мучаться с ИБ бесполезное занятие. Я обычно делаю так, как они хотят, они ставят галочку и дальше жизнь идет своим чередом. Ломать об них копья бесполезное занятие, там формалистика чистой воды, как в армии.

Ну, да, если есть автооткрытие - то можно прикрутить еще один сервак и высосать все данные

Привет. Твои ИБшники правы. На отдельном компьютере с помощью easy-rsa3 или cfssl формируют ключ root, затем intermediate, подписывают root. Публичный и приватный ключ распечатываются(!) в трех экземплярах, на три флешки кидают файлы. Достают 3 конверта и туда опечатывают распечатаеные ключи и флешку. Конверты опечатываются и три разных сейфа. Затем по списку делаешь CA- третьего уровня. Подписываешь их intermediate, и вот уже эти корневые сертификаты загружаешь в vault. Когда придет конец их жизни, создаешь новый PKI. Рекомендую сразу называть правильно PKI, например, root-2023, intermediate-2029, consul-2023. Ну и сроки жизни Root - 12 лет Intermediate - 6 лет Третьего уровня - 3 года.

Какая флешка, вы чего? Лента, может жёсткий диск. Но не флешка или ссд, у них утечка электронов через 5 лет сделает данные недоступными. Сроки жизни (доступности) данных на разных носителях (по памяти): Cd 1-7 лет, dvd 2-10 лет, bd 2-15 лет. НЖМД 5-25 лет, лента 7-25 лет. Бумага 0,5-2000 лет.

То есть печатать надо на проверенной бумаге, проверенным принтером и чернилами.

Гравировка лазером по титановой пластине

Интересно почему cd и dvd так мало у меня дискам которым по 25 лет все норм. Нолик забыл?

Не забывай про постель. Например, Verbatim Pastel CD-R.

а потом потерять ключи от первого сейфа в котором ключи от второго)

А зачем inter-ca делать вместе с root-ca , если они по-сути равны в таком сценарии. Я думал только для root-ca имеет смысл делать такую заморочку.

Можно текст распечаток ключей в qr codе перевести. Такие прям на лист a2

В помещение, где по требованиям запрещены смартфоны. Как в том случае, где на ядерном объекте солдаты покемонов ловили.

На самом деле не так страшно. Публичные ключи итак доступны, значит мы можем проверить все сертификаты, которые были выданы. По времени, будет от 1 месяца до 3х лет, чтобы провести процедуру снова и выпустить новые сертификаты и ключи, прятать в этот раз надежнее.

в чем проблема вскрыть сейф, если он принадлежит тебе?

так в итоге и сделали, болгарка победила

не зря ее зовут "универскальным" ключом