เราจำเป็นต้องใช้ SSL บนเครือข่ายภายในของเราสำหรับแอปพลิเคชันที่มีความละเอียดอ่อนและฉันต้องรู้ว่ามีความแตกต่างระหว่างใบรับรองที่ลงนามด้วยตนเองและใบรับรองที่ลงชื่อโดย Windows Server CA ที่เราติดตั้งหรือไม่ เราจำเป็นต้องติดตั้ง CA หรือไม่?
เราจำเป็นต้องใช้ SSL บนเครือข่ายภายในของเราสำหรับแอปพลิเคชันที่มีความละเอียดอ่อนและฉันต้องรู้ว่ามีความแตกต่างระหว่างใบรับรองที่ลงนามด้วยตนเองและใบรับรองที่ลงชื่อโดย Windows Server CA ที่เราติดตั้งหรือไม่ เราจำเป็นต้องติดตั้ง CA หรือไม่?
คำตอบ:
ในระยะสั้นสำหรับบริการเดียวมีความแตกต่างไม่มาก
หากคุณตัดสินใจว่าจะต้องติดตั้งบริการเพิ่มเติมที่ใช้ SSL คุณอาจพบว่าการตั้งค่า CA น่าจะเป็นทางเลือกที่ดีกว่า
หากคุณติดตั้ง CA คุณควรจะสามารถให้ลูกค้าของคุณเชื่อถือ CA และทำให้สัญญาณใด ๆ เมื่อ CA เพิ่มการบริการเพิ่มเติมก็ง่าย ด้วยใบรับรองที่ลงชื่อด้วยตนเองจำนวนมากผู้ใช้จะต้องยอมรับใบรับรองแต่ละฉบับแยกกัน
คุณกำลังบอกว่าคุณมี windows CA หรือไม่? หากคุณมีแล้วฉันจะใช้มัน หากคุณยังไม่มีอยู่ฉันจะถูกล่อลวงให้ใช้ระบบน้ำหนักเบาเช่น TinyCA ซึ่งคุณสามารถเรียกใช้ใน VM หรือปิด Linux บนดิสก์ USB
ใบรับรองอาจมีข้อมูลเกี่ยวกับการใช้งานที่ได้รับอนุญาตเช่นอนุญาตให้ใช้สำหรับการลงนามใบรับรองกุญแจสาธารณะอื่น ๆ หรือว่าเป็นใบรับรอง CA การใช้งานบางอย่างอาจตรวจสอบข้อมูลประเภทนั้นและปฏิเสธที่จะให้เกียรติใบรับรองเพื่อวัตถุประสงค์บางอย่างโดยไม่มีข้อมูลที่ถูกต้อง
ตัวอย่างของข้อมูลเพิ่มเติมเหล่านี้ ได้แก่ :
หากคุณกำลังสร้างใบรับรองที่ลงนามด้วยตนเองของคุณเองและคุณต้องการใช้มันเป็นใบรับรอง CA และคุณต้องการเพิ่มโอกาสในการได้รับการยอมรับจากซอฟต์แวร์ใดก็ตามที่คุณจะใช้ด้วยคุณควรจะแน่ใจ มันมีค่าที่กำหนดค่าไว้อย่างถูกต้องสำหรับส่วนขยายทั้งสองที่ฉันกล่าวถึงข้างต้น
หากคุณละเว้นส่วนขยายทั้งสองนั้นการใช้งานจำนวนมากอาจยังคงให้เกียรติเป็นใบรับรอง CA แต่การใช้งานบางอย่างอาจไม่
หากคุณต้องการลงนามใบรับรองของคุณเองคุณจะต้องมี CA (ไม่ว่าจะเป็นของคุณหรือเป็นทางการ) แต่คุณไม่จำเป็นต้องผลัก CA ของคุณไปยังผู้ใช้นอกเสียจากคุณวางแผนที่จะลงนามใบรับรองหลายใบและต้องการให้ผู้ใช้ของคุณยอมรับเท่านั้น (เช่นถ้าพวกเขาติดตั้ง CA ของคุณใบรับรองทั้งหมดที่คุณออกจะได้รับการยอมรับ) อาจเป็นการดีกว่าที่จะผลักดัน CA ในระยะยาว
พวกเขาไม่เหมือนกันหรือ ใบรับรองที่ออกโดย CA ภายในของคุณคือ "ลงชื่อด้วยตนเอง" ซึ่งหมายความว่าไม่ได้ออกโดย CA ภายนอกใช่ไหม