Musimy używać protokołu SSL w naszej sieci wewnętrznej do kilku wrażliwych aplikacji i muszę wiedzieć, czy istnieje różnica między certyfikatem z podpisem własnym a certyfikatem podpisanym przez urząd certyfikacji systemu Windows Server, który konfigurujemy? Czy musimy skonfigurować urząd certyfikacji?
Odpowiedzi:
W krótkim okresie dla pojedynczej usługi nie ma dużej różnicy.
Jeśli zdecydujesz, że musisz skonfigurować więcej usług korzystających z protokołu SSL, może się okazać, że lepszym rozwiązaniem byłoby skonfigurowanie urzędu certyfikacji.
Jeśli skonfigurujesz urząd certyfikacji, powinieneś być w stanie zmusić klientów do zaufania urzędowi certyfikacji, a tym samym wszelkich certyfikatów, które podpisuje. Gdy tylko urząd certyfikacji się pojawi, dodawanie dodatkowych usług jest łatwe. W przypadku wielu samopodpisanych certyfikatów użytkownik będzie musiał zaakceptować każdy certyfikat osobno.
Mówisz, że masz urząd certyfikacji systemu Windows? Jeśli już go masz, skorzystałbym z niego. Jeśli jeszcze go nie masz, skusiłbym się na użycie lekkiego systemu, takiego jak TinyCA, który można uruchomić na maszynie wirtualnej lub w systemie Linux na dysku USB.
Certyfikat może zawierać informacje o tym, do jakich zastosowań jest autoryzowany, na przykład czy może być używany do podpisywania innych certyfikatów klucza publicznego, czy też jest to certyfikat CA. Niektóre implementacje mogą sprawdzać tego rodzaju informacje i odmawiać honorowania certyfikatu dla określonych celów bez odpowiednich informacji
Przykłady tych dodatkowych informacji obejmują:
Jeśli tworzysz własny certyfikat z podpisem własnym i chcesz go używać jako certyfikatu urzędu certyfikacji i chcesz zwiększyć swoje szanse na zaakceptowanie go przez dowolne oprogramowanie, z którym będziesz go używać, prawdopodobnie powinieneś się upewnić zawiera odpowiednio skonfigurowane wartości dla tych dwóch rozszerzeń, o których wspomniałem powyżej.
Jeśli pominiesz te dwa rozszerzenia, wiele implementacji może nadal uznawać je za certyfikat CA, ale niektóre implementacje mogą tego nie robić.
Jeśli chcesz podpisać własne certyfikaty, będziesz potrzebować urzędu certyfikacji (niezależnie od tego, czy jest to Twój, czy oficjalny). Ale nie musisz przekazywać swojego urzędu certyfikacji użytkownikom, chyba że planujesz podpisać wiele certyfikatów i chcesz, aby użytkownicy tylko zaakceptowali jeden (tj. Jeśli zainstalują urząd certyfikacji, wszystkie wystawiane przez ciebie certyfikaty zostaną wówczas zaakceptowane). W dłuższej perspektywie lepszym rozwiązaniem może być przekazanie urzędu certyfikacji.
Czy to nie to samo? Certyfikat wydany przez twój wewnętrzny urząd certyfikacji jest „samopodpisany”, co oznacza, że nie został wydany przez zewnętrzny urząd certyfikacji, prawda?