Нам нужно использовать SSL во внутренней сети для нескольких чувствительных приложений, и мне нужно знать, есть ли разница между самозаверяющим сертификатом и сертификатом, подписанным Windows Server CA, который мы настраиваем? Нужно ли нам устанавливать CA?
Ответы:
В краткосрочной перспективе для одной услуги нет большой разницы.
Если вы решите, что вам нужно настроить больше сервисов, использующих SSL, то вы можете найти, что настройка CA была бы лучшим выбором.
Если вы настроите ЦС, вы сможете заставить своих клиентов доверять ЦС и, следовательно, любым сертификатам, которые он подписывает. Как только они завершат работу, добавить дополнительные услуги будет легко. С большим количеством самозаверяющих сертификатов пользователь должен будет принять каждый сертификат отдельно.
Вы говорите, что у вас есть Windows CA? Если у вас уже есть один, я бы использовал его. Если у вас его еще нет, я хотел бы использовать легковесную систему, такую как TinyCA, которую вы могли бы запустить на виртуальной машине или без Linux на USB-диске.
Сертификат может содержать информацию о том, для каких целей он авторизован, например, разрешено ли его использование для подписи других сертификатов открытого ключа или это сертификат CA. Некоторые реализации могут проверять такую информацию и отказываться предоставлять сертификат для определенных целей без правильной информации.
Примеры этих дополнительных частей информации включают в себя:
Если вы создаете свой собственный самозаверяющий сертификат и хотите использовать его в качестве сертификата CA, и вы хотите увеличить свои шансы на его принятие любым программным обеспечением, с которым вы будете его использовать, вы, вероятно, должны убедиться, что он содержит правильно настроенные значения для этих двух расширений, которые я упомянул выше.
Если вы опустите эти два расширения, многие реализации могут по-прежнему учитывать его как сертификат CA, но некоторые реализации могут этого не делать.
Если вы хотите подписать свои собственные сертификаты, вам понадобится центр сертификации (ваш или официальный). Но вам не нужно выдвигать свой ЦС пользователям, если вы не планируете подписывать несколько сертификатов и хотите, чтобы ваши пользователи только принимали один (т. Е. Если они устанавливают ваш ЦС, все выданные вами сертификаты будут приняты). Может быть, лучше продвинуть CA в долгосрочной перспективе.
Разве они не одно и то же? Сертификат, выданный вашим собственным внутренним центром сертификации, является «самоподписанным», то есть он не был выдан внешним центром сертификации, верно?