Frage Für einen Intranet-Server würden Sie ein SSL-Zertifikat kaufen oder ein selbstsigniertes Zertifikat verwenden?


Wir haben einen Webservice, den unsere Anwendung verwendet, und die Entwickler benötigen https-Verbindungen zum Webservice. Da dies ein interner Webservice ist, würden Sie ein selbstsigniertes Zertifikat verwenden?


18
2018-05-02 19:47


Ursprung




Antworten:


Statt eines selbstsignierten Zertifikats würde ich eine lokale Stammzertifizierungsstelle erstellen und dann das SSL-Zertifikat generieren, um sicherzustellen, dass alle internen Systeme über eine Kopie des öffentlichen Schlüssels der Stammzertifizierungsstelle verfügen.

Auf diese Weise generierte Schlüssel können außerhalb von HTTPS verwendet werden, sie können auch für OpenVPN, POP3S, SMTPS usw. verwendet werden, auch für einzelne SMIME-Konten.

Eine einzelne Stammzertifizierungsstelle für Ihre Organisation zu haben, ist viel besser, als von den anerkannten Zertifizierungsstellen, die Ihnen für jeden einzelnen Server, für den Sie ein Zertifikat benötigen, in Rechnung gestellt werden, zu erpressen und Ihnen eine "Lizenzgebühr" zu berechnen dasselbe Zertifikat auf mehreren Servern in einem Cluster mit Lastenausgleich ablegen.


23
2018-05-02 20:27





versuchen Sie CAcert. Sie sind kostenlos, Sie müssen nur den Root installiert haben. Einen Schritt darüber hinaus mit selbst signierten Zertifikaten.


3
2018-05-02 19:57



Ich habe CAcert verwendet, aber ich hatte gehofft, dass sie bessere Fortschritte machen würden, wenn es darum geht, die erforderlichen Audits als vertrauenswürdige Stammzertifizierungsstelle an die wichtigsten Browser zu übergeben. Ich wurde CAcert Notar und ein Thawte Web of Trust Notar und ermutigte die Verwendung von Thawte Freemail-Zertifikaten für S / MIME-E-Mail-Signierung und Verschlüsselung; leider hat Thawte nach jahrelanger Vernachlässigung im November 2009 ihr Programm eingestellt. StartCom hat ein ähnliches WoT-Modell, um ihre kostenlosen Zertifikate ein wenig zu validieren, aber es gibt nur wenige Notare auf dem neuesten Stand; Eine Erweiterung ihres WoT würde die Leere von Thawte füllen ... - jnaab


Wenn Kosten ein Problem darstellen und Sie Windows-zentriert sind, wie Mr. Denny vorschlägt, sollten Sie die Microsoft-Zertifikatdienste verwenden und die Zertifikate als Teil des Standard-Domänen-GPOs bereitstellen. Sie benötigen wahrscheinlich drei Systeme, können dann aber VMs sein. Sie benötigen die Stammzertifizierungsstelle, die nur zum Ausstellen der Zertifikate für die Zwischenzertifizierungsstellen verwendet werden soll. Sie sollten eine Zwischenzertifizierungsstelle als Unternehmenszertifizierungsstelle und dann die dritte Zertifizierungsstelle als eigenständige Zertifizierungsstelle verwenden, damit Sie Zertifikate für Nichtdomänenressourcen ausgeben können.

Wenn Sie viele Clients haben und groß genug sind, können Sie sich ein Root-Verzeichnis von einer der Drittanbieter-Lösungen ansehen und Ihre eigenen Zertifikate von einer CA ausstellen, die ihr Zertifikat von dieser Drittpartei erhält. Auf diese Weise müssen Sie das Zertifikat der Zertifizierungsstelle nicht bereitstellen. Zum Beispiel gibt es eine Lösung von GeoTrust.


3
2018-05-02 21:56





Für den niedrigen Preis von Starter-Kursen, wie rapidssl, würde ich wahrscheinlich eines davon kaufen, zumindest wenn Sie nur eine minimale Menge davon benötigen. Ich fühle, dass es die kleine Gebühr wert ist, um Benutzer davon abzuhalten, das nicht vertrauenswürdige selbstsignierte Zertifikat zu akzeptieren, da es immer einige Probleme mit nicht-technischen Benutzern verursacht.


2
2018-05-02 19:52





Angenommen, Sie sind eine Windows-Domäne für Ihre Desktops, richten Sie eine Windows-Zertifizierungsstelle intern ein, der automatisch von allen Computern im Unternehmen über Active Directory vertraut wird. Auf diese Weise können Sie Zertifikate an interne Anwendungen senden, die Sie benötigen, ohne ein Zertifikat erwerben zu müssen.


2
2018-05-02 21:10





Normalerweise würde ich für solche Dinge ein selbstsigniertes PEM-Zertifikat verwenden. Wie sensibel ist die Site in Ihrem Intranet? Es gibt gute Praktiken in Bezug auf die Maschine, die tatsächlich die Zertifikate unterzeichnet .. und andere, die möglicherweise für Sie gelten oder nicht.

Wie würde ein interner CA-Speicher für Benutzer konfiguriert? Sobald Sie ein Zertifikat akzeptieren, werden Sie wissen, ob es sich ändert. Das bringt mich zu guten Praktiken zurück, die die Maschine betreffen, die sie tatsächlich signiert (d. H. Unterschreiben und dann abstecken).

Es ist praktisch, wenn Sie es richtig verwalten, Ihre eigene interne CA zu haben. Bitte geben Sie weitere Informationen an.


1
2018-05-02 19:52





Das Problem mit einem selbstsignierten Zertifikat ist, dass die Clients im Allgemeinen Warnungen darüber ausspucken, dass es nicht verifiziert ist. Abhängig von den Sicherheitseinstellungen können einige Benutzer dies blockieren.

Wenn dies ein rein internes Bedürfnis ist, warum sollte man https instaed von http benutzen?

Persönlich würde ich entweder bei http bleiben oder ein günstiges Zertifikat kaufen (sie sind nicht so teuer).


0
2018-05-02 19:51



Nun, es gibt interne und interne interne. Das heißt, Sie würden HTTPS wünschen, wenn Core-Entwickler Änderungen an einem Repository vornehmen, so dass ein Geek, der im Personalwesen arbeitet (von dem man noch nicht weiß, dass er verärgert ist), später keine Probleme verursachen kann. Eine interne CA kann wirklich praktisch sein. - Tim Post♦