Wir haben einen Webservice, den unsere Anwendung verwendet, und die Entwickler benötigen https-Verbindungen zum Webservice. Da dies ein interner Webservice ist, würden Sie ein selbstsigniertes Zertifikat verwenden?
Wir haben einen Webservice, den unsere Anwendung verwendet, und die Entwickler benötigen https-Verbindungen zum Webservice. Da dies ein interner Webservice ist, würden Sie ein selbstsigniertes Zertifikat verwenden?
Antworten:
Anstelle eines selbstsignierten Zertifikats würde ich eine lokale Stammzertifizierungsstelle erstellen und dann das SSL-Zertifikat daraus generieren, um sicherzustellen, dass alle internen Systeme über eine Kopie des öffentlichen Schlüssels der Stammzertifizierungsstelle verfügen.
Schlüssel, die auf diese Weise generiert wurden, haben viele Verwendungsmöglichkeiten außerhalb von einfachem HTTPS. Sie können auch für OpenVPN, POP3S, SMTPS usw. verwendet werden, selbst für einzelne SMIME-Konten.
Eine einzige Stammzertifizierungsstelle für Ihr Unternehmen zu haben, ist weitaus besser, als von den anerkannten Zertifizierungsstellen als Lösegeld gehalten zu werden, die Ihnen für jeden Server, für den Sie ein Zertifikat wünschen, Gebühren berechnen und es wagen, Ihnen eine "Lizenzgebühr" in Rechnung zu stellen, wenn Sie dies wünschen um dasselbe Zertifikat auf mehreren Servern in einem Cluster mit Lastenausgleich zu speichern.
versuchen Sie CAcert . sie sind kostenlos, Sie müssen nur den root installiert haben. einen Schritt weiter oben mit selbstsignierten Zertifikaten.
Wenn die Kosten ein Problem darstellen und Sie sich auf Windows konzentrieren, wie Herr Denny vorschlägt, gehen Sie zu Microsoft Certificate Services und stellen Sie die Zertifikate als Teil des Standarddomänen-Gruppenrichtlinienobjekts bereit. Sie benötigen wahrscheinlich drei Systeme, können dann aber auch VMs sein. Sie benötigen die Stammzertifizierungsstelle, die nur zum Ausstellen der Zertifikate für die Zwischenzertifizierungsstellen verwendet werden sollte. Sie sollten eine Zwischenzertifizierungsstelle als Unternehmenszertifizierungsstelle und die dritte als "eigenständige" Zertifizierungsstelle haben, damit Sie Zertifikate für nicht domänenbezogene Assets ausstellen können.
Wenn Sie viele Kunden haben und groß genug sind, können Sie versuchen, einen Stamm von einer der Lösungen von Drittanbietern zu haben und Ihre eigenen Zertifikate von einer Zertifizierungsstelle auszustellen, die das Zertifikat von diesem Drittanbieter erhält. Auf diese Weise müssen Sie das Zertifikat der Zertifizierungsstelle nicht bereitstellen. Zum Beispiel gibt es eine Lösung von GeoTrust .
Für den günstigen Preis von Starter-Zertifikaten wie rapidssl würde ich wahrscheinlich eines davon kaufen, zumindest wenn Sie nur eine minimale Menge davon benötigen. Ich halte es für die geringe Gebühr, zu verhindern, dass Benutzer aufgefordert werden, das nicht vertrauenswürdige selbstsignierte Zertifikat zu akzeptieren, da dies bei nicht technischen Benutzern immer zu Problemen führt.
Angenommen, Sie sind eine Windows-Domäne für Ihre Desktops, richten Sie eine interne Windows-Zertifizierungsstelle ein, die von allen Computern im Unternehmen automatisch über AD als vertrauenswürdig eingestuft wird. Auf diese Weise können Sie Zertifikate für alle internen Apps ausstellen, die Sie benötigen, ohne ein Zertifikat erwerben zu müssen.
Normalerweise würde ich dafür ein selbstsigniertes PEM-Zertifikat verwenden. Wie sensibel ist die Site in Ihrem Intranet? In Bezug auf das Gerät, das die Zertifikate tatsächlich signiert, und auf andere, die möglicherweise auf Sie zutreffen oder nicht, sind bewährte Verfahren zu befolgen.
Wie würde ein interner CA-Speicher für Benutzer konfiguriert? Sobald Sie ein Zertifikat akzeptiert haben, werden Sie wissen, ob es sich ändert. Dies bringt mich zu den bewährten Methoden zurück, bei denen es um den Computer geht, der sie tatsächlich signiert (dh signiert und dann den Stecker aus der Steckdose zieht).
Es ist praktisch, eine eigene interne Zertifizierungsstelle zu haben, wenn Sie diese ordnungsgemäß verwalten. Bitte geben Sie weitere Informationen.
Das Problem mit einem selbstsignierten Zertifikat ist, dass die Clients im Allgemeinen Warnungen ausgeben, dass es nicht überprüft wurde. Abhängig von den Sicherheitseinstellungen kann es sein, dass einige das Programm vollständig blockieren.
Wenn dies nur ein internes Bedürfnis ist, warum sollte man dann https anstelle von http verwenden?
Persönlich würde ich entweder bei http bleiben oder ein billiges Zertifikat kaufen (sie sind nicht so teuer).