Câu trả lời:
Trong ngắn hạn cho một dịch vụ duy nhất không có nhiều khác biệt.
Nếu bạn quyết định cần thiết lập thêm dịch vụ sử dụng SSL, thì bạn có thể thấy rằng thiết lập CA sẽ là lựa chọn tốt hơn.
Nếu bạn thiết lập một CA, bạn sẽ có thể khiến khách hàng của mình tin tưởng CA và do đó, bất kỳ dấu hiệu nào mà nó ký. Một khi họ CA lên, thêm các dịch vụ bổ sung là dễ dàng. Với rất nhiều certs tự ký, người dùng sẽ phải chấp nhận từng chứng chỉ riêng biệt.
Bạn đang nói rằng bạn có một cửa sổ CA? Nếu bạn đã có, tôi sẽ sử dụng nó. Nếu bạn chưa có, tôi sẽ sử dụng một hệ thống nhẹ như TinyCA mà bạn có thể chạy trong máy ảo hoặc tắt Linux trên đĩa USB.
Chứng chỉ có thể chứa thông tin về việc sử dụng nó được ủy quyền, chẳng hạn như liệu nó có được phép sử dụng để ký các chứng chỉ khóa công khai khác hay không, hay đó là chứng chỉ CA. Một số triển khai có thể kiểm tra loại thông tin đó và từ chối tôn vinh chứng chỉ cho các mục đích nhất định mà không có thông tin phù hợp
Ví dụ về những thông tin bổ sung này bao gồm:
Nếu bạn đang tạo chứng chỉ tự ký và bạn muốn sử dụng chứng chỉ CA và bạn muốn tăng cơ hội được chấp nhận bởi bất kỳ phần mềm nào bạn sẽ sử dụng với nó, có lẽ bạn nên chắc chắn nó chứa các giá trị được cấu hình đúng cho hai phần mở rộng mà tôi đã đề cập ở trên.
Nếu bạn bỏ qua hai phần mở rộng đó, nhiều triển khai vẫn có thể tôn vinh nó như một chứng chỉ CA, nhưng một số triển khai có thể không.
Nếu bạn muốn ký chứng chỉ của riêng mình, bạn sẽ cần một CA (cho dù đó là chứng chỉ của bạn hay chính thức). Tuy nhiên, bạn không cần phải đẩy CA của mình cho người dùng trừ khi bạn có kế hoạch ký nhiều chứng chỉ và muốn người dùng của bạn chỉ phải chấp nhận một (ví dụ: nếu họ cài đặt CA của bạn, tất cả các chứng chỉ bạn cấp sẽ được chấp nhận). Có thể tốt hơn để đẩy CA trong dài hạn.
Không phải họ giống nhau sao? Một chứng chỉ do CA nội bộ của bạn cấp là "tự ký", nghĩa là nó không được cấp bởi một CA bên ngoài, phải không?