У нас есть веб-сервис, который использует наше приложение, и разработчикам требуются https-соединения с веб-сервисом. Так как это внутренний веб-сервис, вы бы использовали самоподписанный сертификат?
У нас есть веб-сервис, который использует наше приложение, и разработчикам требуются https-соединения с веб-сервисом. Так как это внутренний веб-сервис, вы бы использовали самоподписанный сертификат?
Ответы:
Вместо самозаверяющего сертификата я бы создал локальный корневой центр сертификации, а затем сгенерировал бы сертификат SSL, гарантируя, что все внутренние системы имеют копию открытого ключа корневого центра сертификации.
Ключи, сгенерированные таким образом, имеют множество применений вне простого HTTPS, их также можно использовать для OpenVPN, POP3S, SMTPS и т. Д., Даже для отдельных учетных записей SMIME.
Наличие единственного корневого ЦС для вашей организации намного лучше, чем получение выкупа признанными ЦС, которые будут взимать с вас плату за каждый сервер, для которого вы хотите получить сертификат, и осмелитесь взимать с вас «лицензионный сбор», если вы хотите разместить один и тот же сертификат на нескольких серверах в кластере с балансировкой нагрузки.
попробуй CAcert . они бесплатны, вам просто нужно установить рут. на один шаг выше, имея самоподписанные сертификаты.
Если стоимость является проблемой, и вы ориентированы на Windows, как предлагает г-н Денни, используйте Microsoft Certificate Services и разверните сертификаты как часть GPO домена по умолчанию. Скорее всего, вам понадобятся три системы, но тогда это могут быть виртуальные машины. Вам потребуется корневой ЦС, который следует использовать только для выдачи сертификатов для промежуточных ЦС. У вас должен быть один промежуточный ЦС в качестве корпоративного ЦС, а затем третий в качестве «автономного» ЦС, чтобы вы могли выдавать сертификаты для недоменных активов.
Если у вас много клиентов и вы достаточно велики, вы можете взглянуть на наличие рута от одного из сторонних решений и на выдачу собственных сертификатов от ЦС, который получает свой сертификат от указанной третьей стороны. Таким образом, вам не нужно развертывать сертификат CA. Например, есть решение от GeoTrust .
По низкой цене стартовых сертификатов, таких как rapidssl, я бы, вероятно, купил один из них, по крайней мере, если вам нужно только минимальное их количество. Я считаю, что стоит небольшая плата за то, чтобы пользователи не получали недоверенные сертификаты с собственной подписью, поскольку это всегда вызывает проблемы у нетехнических пользователей.
Предполагая, что вы являетесь доменом Windows для своих рабочих столов, настройте собственный Windows CA, которому автоматически будут доверять все компьютеры компании через AD. Таким образом, вы можете выдавать сертификаты тем внутренним приложениям, которые вам нужны, без необходимости покупать сертификат.
Обычно, да, я бы использовал самоподписанный сертификат PEM для таких вещей. Однако насколько чувствителен сайт в вашей интрасети? В отношении устройства, которое фактически подписывает сертификаты… и других, которые могут относиться к вам или не относиться к ним, необходимо следовать рекомендациям.
Кроме того, как внутреннее хранилище CA должно быть настроено для пользователей? Как только вы примете сертификат, вы узнаете, изменился ли он ... что возвращает меня к хорошим практикам, касающимся машины, которая на самом деле их подписывает (то есть подписывает, затем отключает его).
Удобно иметь свой собственный внутренний центр сертификации, если вы управляете им правильно. Пожалуйста, предоставьте больше информации.
Проблема с самоподписанным сертификатом заключается в том, что клиенты обычно выдают предупреждения о том, что он не проверен. В зависимости от настроек безопасности, некоторые могут заблокировать его полностью.
Если это чисто внутренняя необходимость, зачем вообще использовать https вместо http?
Лично я бы либо придерживался http, либо купил бы дешевый сертификат (они не такие дорогие).