มีความแตกต่างระหว่างใบรับรองที่ลงนามเองและใบรับรองที่ CA ของคุณเซ็นต์เองหรือไม่


11

เราจำเป็นต้องใช้ SSL บนเครือข่ายภายในของเราสำหรับแอปพลิเคชันที่มีความละเอียดอ่อนและฉันต้องรู้ว่ามีความแตกต่างระหว่างใบรับรองที่ลงนามด้วยตนเองและใบรับรองที่ลงชื่อโดย Windows Server CA ที่เราติดตั้งหรือไม่ เราจำเป็นต้องติดตั้ง CA หรือไม่?

คำตอบ:


10

ในระยะสั้นสำหรับบริการเดียวมีความแตกต่างไม่มาก

หากคุณตัดสินใจว่าจะต้องติดตั้งบริการเพิ่มเติมที่ใช้ SSL คุณอาจพบว่าการตั้งค่า CA น่าจะเป็นทางเลือกที่ดีกว่า

หากคุณติดตั้ง CA คุณควรจะสามารถให้ลูกค้าของคุณเชื่อถือ CA และทำให้สัญญาณใด ๆ เมื่อ CA เพิ่มการบริการเพิ่มเติมก็ง่าย ด้วยใบรับรองที่ลงชื่อด้วยตนเองจำนวนมากผู้ใช้จะต้องยอมรับใบรับรองแต่ละฉบับแยกกัน

คุณกำลังบอกว่าคุณมี windows CA หรือไม่? หากคุณมีแล้วฉันจะใช้มัน หากคุณยังไม่มีอยู่ฉันจะถูกล่อลวงให้ใช้ระบบน้ำหนักเบาเช่น TinyCA ซึ่งคุณสามารถเรียกใช้ใน VM หรือปิด Linux บนดิสก์ USB


! น่ากลัว นั่นคือข้อมูลที่ฉันต้องการ
Max Schmeling

2

ใบรับรองอาจมีข้อมูลเกี่ยวกับการใช้งานที่ได้รับอนุญาตเช่นอนุญาตให้ใช้สำหรับการลงนามใบรับรองกุญแจสาธารณะอื่น ๆ หรือว่าเป็นใบรับรอง CA การใช้งานบางอย่างอาจตรวจสอบข้อมูลประเภทนั้นและปฏิเสธที่จะให้เกียรติใบรับรองเพื่อวัตถุประสงค์บางอย่างโดยไม่มีข้อมูลที่ถูกต้อง

ตัวอย่างของข้อมูลเพิ่มเติมเหล่านี้ ได้แก่ :

  • ส่วนขยาย "การใช้คีย์" (OID 2.5.29.15) ซึ่งอาจระบุว่าอนุญาตให้ใช้ใบรับรองนี้สำหรับการเซ็นรับรองคีย์หรือไม่
  • ส่วนขยาย "ข้อ จำกัด พื้นฐาน" (OID 2.5.29.19) ซึ่งระบุว่าเป็นใบรับรอง CA หรือไม่

หากคุณกำลังสร้างใบรับรองที่ลงนามด้วยตนเองของคุณเองและคุณต้องการใช้มันเป็นใบรับรอง CA และคุณต้องการเพิ่มโอกาสในการได้รับการยอมรับจากซอฟต์แวร์ใดก็ตามที่คุณจะใช้ด้วยคุณควรจะแน่ใจ มันมีค่าที่กำหนดค่าไว้อย่างถูกต้องสำหรับส่วนขยายทั้งสองที่ฉันกล่าวถึงข้างต้น

หากคุณละเว้นส่วนขยายทั้งสองนั้นการใช้งานจำนวนมากอาจยังคงให้เกียรติเป็นใบรับรอง CA แต่การใช้งานบางอย่างอาจไม่


0

หากคุณต้องการลงนามใบรับรองของคุณเองคุณจะต้องมี CA (ไม่ว่าจะเป็นของคุณหรือเป็นทางการ) แต่คุณไม่จำเป็นต้องผลัก CA ของคุณไปยังผู้ใช้นอกเสียจากคุณวางแผนที่จะลงนามใบรับรองหลายใบและต้องการให้ผู้ใช้ของคุณยอมรับเท่านั้น (เช่นถ้าพวกเขาติดตั้ง CA ของคุณใบรับรองทั้งหมดที่คุณออกจะได้รับการยอมรับ) อาจเป็นการดีกว่าที่จะผลักดัน CA ในระยะยาว


-1

พวกเขาไม่เหมือนกันหรือ ใบรับรองที่ออกโดย CA ภายในของคุณคือ "ลงชื่อด้วยตนเอง" ซึ่งหมายความว่าไม่ได้ออกโดย CA ภายนอกใช่ไหม


ไม่ได้คุณสมบัติ "ลงนามด้วยตนเอง" ไม่มีส่วนเกี่ยวข้องกับ CA ภายนอกกับภายใน อันที่จริงใบรับรองรูทของ CA ภายนอกทั้งหมดนั้นลงนามด้วยตนเอง เพียงไปที่เว็บไซต์ SSL ใด ๆ เช่น google mail และตรวจสอบใบรับรองทั้งหมดในห่วงโซ่ใบรับรอง
ประธานาธิบดี James Moveon Polk
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.