Chúng tôi có một dịch vụ web mà ứng dụng của chúng tôi sử dụng và các nhà phát triển yêu cầu kết nối https với dịch vụ web. Vì đây là một dịch vụ web nội bộ, bạn sẽ sử dụng chứng chỉ tự ký?
Chúng tôi có một dịch vụ web mà ứng dụng của chúng tôi sử dụng và các nhà phát triển yêu cầu kết nối https với dịch vụ web. Vì đây là một dịch vụ web nội bộ, bạn sẽ sử dụng chứng chỉ tự ký?
Câu trả lời:
Thay vì chứng chỉ tự ký Tôi sẽ tạo một CA gốc cục bộ và sau đó tạo chứng chỉ SSL từ đó, đảm bảo rằng tất cả các hệ thống nội bộ đều có một bản sao của khóa công khai CA gốc.
Các khóa được tạo theo cách này có nhiều cách sử dụng bên ngoài HTTPS đơn giản, chúng cũng có thể được sử dụng cho OpenVPN, POP3S, SMTPS, v.v., ngay cả đối với các tài khoản SMIME riêng lẻ.
Có một CA gốc cho tổ chức của bạn sẽ tốt hơn rất nhiều so với việc các CA được công nhận sẽ buộc bạn phải trả tiền cho mỗi máy chủ mà bạn muốn có chứng chỉ và dám tính phí cho bạn "phí giấy phép" nếu bạn muốn để đặt cùng một chứng chỉ trên nhiều máy chủ trong một cụm cân bằng tải.
thử CAcert . chúng là miễn phí, bạn chỉ cần cài đặt root. một bước trên có chứng chỉ tự ký.
Nếu chi phí là một vấn đề và bạn là trung tâm của Windows, như ông Denny gợi ý, hãy đi với Dịch vụ chứng chỉ của Microsoft và triển khai các chứng chỉ như một phần của GPO tên miền mặc định. Bạn có thể sẽ cần ba hệ thống, nhưng sau đó có thể là máy ảo. Bạn sẽ cần CA gốc, chỉ nên được sử dụng để cấp chứng chỉ cho các CA trung gian. Bạn nên có một CA trung gian là CA doanh nghiệp và sau đó là CA thứ ba dưới dạng CA "độc lập" để bạn có thể phát hành certs cho các tài sản không thuộc miền.
Nếu bạn có nhiều khách hàng và bạn đủ lớn, bạn có thể xem việc có nguồn gốc từ một trong các giải pháp của bên thứ ba và cấp chứng chỉ của riêng bạn từ một CA nhận chứng chỉ từ bên thứ ba. Bằng cách đó, bạn không phải triển khai chứng chỉ của CA. Chẳng hạn, có một giải pháp từ GeoTrust .
Đối với giá thấp của certs starter, như rapidssl, tôi có thể sẽ mua một trong số này, ít nhất là nếu bạn chỉ cần một lượng tối thiểu trong số chúng. Tôi cảm thấy đáng giá với khoản phí nhỏ để ngăn người dùng được yêu cầu chấp nhận chứng chỉ tự ký không đáng tin cậy, vì nó luôn gây ra một số vấn đề với người dùng không có kỹ thuật.
Giả sử rằng bạn là Miền Windows cho máy tính để bàn của mình, hãy thiết lập Windows CA trong nhà, nó sẽ tự động được tin cậy bởi tất cả các máy tính trong công ty thông qua AD. Bằng cách này, bạn có thể phát hành certs cho những ứng dụng nội bộ nào bạn cần mà không phải mua chứng chỉ.
Thông thường, vâng, tôi sẽ sử dụng chứng chỉ PEM tự ký cho những thứ đó. Tuy nhiên, mức độ nhạy cảm của trang web trên mạng nội bộ của bạn? Có những thực hành tốt để làm theo liên quan đến máy thực sự ký các certs .. và những người khác, có thể hoặc không thể áp dụng cho bạn.
Ngoài ra, làm thế nào một cửa hàng CA nội bộ sẽ được cấu hình cho người dùng? Khi bạn chấp nhận chứng chỉ, bạn sẽ biết nếu nó thay đổi .. điều này đưa tôi trở lại các thực tiễn tốt liên quan đến máy thực sự ký chúng (tức là ký, sau đó rút phích cắm ra).
Thật tiện lợi khi có CA nội bộ của riêng bạn, nếu bạn quản lý nó một cách chính xác. Vui lòng cung cấp thêm thông tin.
Vấn đề với một chứng chỉ tự ký là khách hàng thường sẽ đưa ra những cảnh báo về việc nó chưa được xác minh. Tùy thuộc vào cài đặt bảo mật, một số có thể chặn hoàn toàn.
Nếu đây hoàn toàn là một nhu cầu nội bộ, tại sao thậm chí sử dụng https được tạo ra bởi http?
Cá nhân tôi sẽ gắn bó với http hoặc mua một chứng chỉ giá rẻ (chúng không quá đắt).