Mamy usługę internetową, z której korzysta nasza aplikacja, a programiści wymagają połączeń https z usługą internetową. Ponieważ jest to wewnętrzna usługa internetowa, czy użyłbyś certyfikatu z podpisem własnym?
Mamy usługę internetową, z której korzysta nasza aplikacja, a programiści wymagają połączeń https z usługą internetową. Ponieważ jest to wewnętrzna usługa internetowa, czy użyłbyś certyfikatu z podpisem własnym?
Odpowiedzi:
Zamiast samopodpisanego certyfikatu utworzę lokalny główny urząd certyfikacji, a następnie wygeneruję z niego certyfikat SSL, upewniając się, że wszystkie systemy wewnętrzne mają kopię klucza publicznego głównego urzędu certyfikacji.
Tak wygenerowane klucze mają wiele zastosowań poza zwykłym HTTPS, mogą być również używane do OpenVPN, POP3S, SMTPS itp., Nawet do indywidualnych kont SMIME.
Posiadanie jednego głównego urzędu certyfikacji dla Twojej organizacji jest o wiele lepsze niż trzymanie go na okup przez uznane urzędy certyfikacji, które będą pobierać opłaty za każdy serwer, dla którego chcesz uzyskać certyfikat, i odważą się nałożyć opłatę licencyjną, jeśli chcesz umieścić ten sam certyfikat na wielu serwerach w klastrze z równoważeniem obciążenia.
spróbuj CAcert . są bezpłatne, wystarczy mieć zainstalowany root. jeden krok powyżej posiadanie certyfikatów z podpisem własnym.
Jeśli koszt stanowi problem i jesteś zorientowany na system Windows, jak sugeruje pan Denny, skorzystaj z usług Microsoft Certificate Services i wdróż certyfikaty w ramach domyślnego obiektu GPO domeny. Prawdopodobnie będziesz potrzebować trzech systemów, ale wtedy mogą to być maszyny wirtualne. Potrzebny będzie główny urząd certyfikacji, który powinien być używany tylko do wydawania certyfikatów dla pośrednich urzędów certyfikacji. Powinieneś mieć jeden pośredni urząd certyfikacji jako urząd certyfikacji przedsiębiorstwa, a następnie trzeci jako „autonomiczny” urząd certyfikacji, abyś mógł wydawać certyfikaty zasobom innym niż domena.
Jeśli masz wielu klientów i jesteś wystarczająco duży, możesz pomyśleć o rootowaniu jednego z rozwiązań innych firm i wydawaniu własnych certyfikatów z urzędu certyfikacji, który otrzymuje swój certyfikat od wspomnianej strony trzeciej. W ten sposób nie musisz wdrażać certyfikatu urzędu certyfikacji. Na przykład istnieje rozwiązanie GeoTrust .
Za niską cenę certyfikatów początkowych, takich jak rapidssl, prawdopodobnie kupiłbym jeden z nich, przynajmniej jeśli potrzebujesz tylko ich minimalnej ilości. Uważam, że warto zapłacić niewielką opłatę, aby użytkownicy nie byli proszeni o zaakceptowanie niezaufanego certyfikatu z podpisem własnym, ponieważ zawsze powoduje to pewne problemy z użytkownikami nietechnicznymi.
Zakładając, że jesteś domeną Windows dla komputerów stacjonarnych, skonfiguruj urząd certyfikacji systemu Windows w domu, który będzie automatycznie ufany przez wszystkie komputery w firmie za pośrednictwem AD. W ten sposób możesz wydawać certyfikaty wszystkim, czego potrzebujesz aplikacjom wewnętrznym, bez konieczności zakupu certyfikatu.
Zwykle tak, do takich rzeczy używałbym samopodpisanego certyfikatu PEM. Jak wrażliwa jest jednak strona w twoim intranecie? Należy przestrzegać dobrych praktyk dotyczących urządzenia, które faktycznie podpisuje certyfikaty ... i innych, które mogą, ale nie muszą dotyczyć Ciebie.
Jak również skonfigurować wewnętrzny magazyn CA dla użytkowników? Gdy zaakceptujesz certyfikat, będziesz wiedział, czy to się zmieni ... co sprowadza mnie z powrotem do dobrych praktyk dotyczących komputera, który je podpisuje (tj. Podpisuje, a następnie odłącza).
Przydaje się mieć własny wewnętrzny urząd certyfikacji, jeśli zarządzasz nim poprawnie. Podaj więcej informacji.
Problem z certyfikatem z podpisem własnym polega na tym, że klienci zazwyczaj wyrzucają ostrzeżenia o niezweryfikowaniu. W zależności od ustawień bezpieczeństwa niektóre mogą całkowicie go zablokować.
Jeśli jest to czysto wewnętrzna potrzeba, dlaczego nawet używać https zamiast http?
Osobiście trzymałbym się http lub kupiłem tanie certyfikaty (nie są tak drogie).