สำหรับเซิร์ฟเวอร์อินทราเน็ตคุณจะซื้อใบรับรอง SSL หรือใช้ใบรับรองที่ลงชื่อด้วยตนเองหรือไม่

18

เรามีเว็บเซอร์เวอรี่ที่แอพพลิเคชั่นของเราใช้และผู้พัฒนาต้องการการเชื่อมต่อ https กับเว็บเซอร์ เนื่องจากนี่เป็นเว็บเซอร์ภายในคุณจะใช้ใบรับรองที่ลงชื่อด้วยตนเองหรือไม่

ssl

— Aaron Fischer
แหล่งที่มา

23

แทนที่จะเป็นใบรับรองที่ลงนามเองฉันจะสร้างรูท CA ในตัวจากนั้นสร้างใบรับรอง SSL จากนั้นรับรองว่าระบบภายในทั้งหมดมีสำเนาของคีย์สาธารณะรูทของ CA

คีย์ที่สร้างด้วยวิธีนี้มีการใช้งานมากมายนอกเหนือจาก HTTPS ธรรมดานอกจากนี้ยังสามารถใช้สำหรับ OpenVPN, POP3S, SMTPS และอื่น ๆ ได้แม้สำหรับบัญชี SMIME แต่ละรายการ

การมีรูท CA เดียวสำหรับองค์กรของคุณนั้นดีกว่าการถูกเรียกค่าไถ่โดย CA ที่เป็นที่รู้จักซึ่งจะเรียกเก็บเงินจากคุณสำหรับเซิร์ฟเวอร์แต่ละเซิร์ฟเวอร์ที่คุณต้องการใบรับรองและกล้าที่จะเรียกเก็บค่าธรรมเนียมใบอนุญาตหากคุณต้องการ เพื่อใส่ใบรับรองเดียวกันบนเซิร์ฟเวอร์หลายเครื่องในคลัสเตอร์ที่โหลดสมดุล

— Alnitak
แหล่งที่มา

3

ลอง CAcert พวกมันฟรีคุณแค่ต้องติดตั้งรูท ขั้นตอนหนึ่งข้างต้นมีใบรับรองที่ลงชื่อด้วยตนเอง

— Darren Kopp
แหล่งที่มา

ฉันใช้ CAcert แล้ว แต่หวังว่าพวกเขาจะทำให้ดีขึ้นในการผ่านการตรวจสอบที่จำเป็นเพื่อให้รวมอยู่ในเบราว์เซอร์หลักในฐานะ Root Root ที่เชื่อถือได้ ฉันกลายเป็น CAcert Notary และ Thawte Web of Trust Notary และสนับสนุนให้ใช้ใบรับรอง Thawte Freemail สำหรับการลงชื่อและเข้ารหัสอีเมล S / MIME; น่าเสียดายที่ Thawte ยกเลิกโปรแกรมของพวกเขาในเดือนพฤศจิกายน 2009 หลังจากถูกละเลยมาหลายปี StartCom มีรูปแบบ WoT ที่คล้ายกันเพื่อเพิ่มการรับรองความถูกต้องเล็กน้อยให้กับใบรับรองฟรีของพวกเขา แต่มีพรักานน้อยมากในปัจจุบัน การขยายตัวของ WoT ของพวกเขาจะเติมช่องว่างด้านซ้ายโดย Thawte ...

— jnaab

3

ถ้าค่าใช้จ่ายเป็นปัญหาและคุณเป็นศูนย์กลางของ Windows อย่างที่นายเดนนี่แนะนำให้ไปกับ Microsoft Certificate Services และปรับใช้ใบรับรองเป็นส่วนหนึ่งของ GPO โดเมนเริ่มต้น คุณอาจต้องใช้สามระบบ แต่อาจเป็น VMs คุณจะต้องรูท CA ซึ่งควรใช้สำหรับการออกใบรับรองสำหรับ CA ระดับกลางเท่านั้น คุณควรมี CA ระดับกลางหนึ่งรายการเป็น Enterprise CA และอันดับสามเป็น CA "แบบสแตนด์อโลน" เพื่อให้คุณสามารถออกใบรับรองไปยังเนื้อหาที่ไม่ใช่โดเมน

หากคุณมีลูกค้าจำนวนมากและคุณใหญ่พอคุณอาจมองว่ามีรากจากหนึ่งในโซลูชันของ บริษัท อื่นและออกใบรับรองของคุณเองจาก CA ที่ได้รับใบรับรองจากบุคคลที่สามดังกล่าว ด้วยวิธีนี้คุณไม่จำเป็นต้องปรับใช้ใบรับรองของ CA ยกตัวอย่างเช่นมีทางออกจากGeoTrust

— เคไบรอันตวัด
แหล่งที่มา

2

สำหรับราคาเริ่มต้นของ certs เริ่มต้นเช่น rapidssl ฉันอาจจะซื้ออย่างใดอย่างหนึ่งอย่างน้อยถ้าคุณต้องการเพียงเล็กน้อยเท่านั้น ฉันรู้สึกว่ามันมีค่าเล็กน้อยที่จะหยุดผู้ใช้ที่ถูกขอให้ยอมรับใบรับรองที่ลงนามด้วยตนเองที่ไม่น่าเชื่อถือเนื่องจากจะทำให้เกิดปัญหาบางอย่างกับผู้ใช้ที่ไม่ใช่ด้านเทคนิค

— แซมโคแกน
แหล่งที่มา

2

สมมติว่าคุณเป็นโดเมน Windows สำหรับเดสก์ท็อปของคุณให้ติดตั้ง Windows CA ภายใน บริษัท ซึ่งคอมพิวเตอร์ทุกเครื่องใน บริษัท จะเชื่อถือได้โดยอัตโนมัติผ่าน AD วิธีนี้คุณสามารถออกใบรับรองไปยังแอปภายในที่คุณต้องการโดยไม่ต้องซื้อใบรับรอง

— mrdenny
แหล่งที่มา

1

โดยปกติแล้วฉันจะใช้ใบรับรอง PEM ที่ลงชื่อด้วยตนเองสำหรับสิ่งต่าง ๆ อย่างไรก็ตามไซต์บนอินทราเน็ตของคุณมีความละเอียดอ่อนมากเพียงใด มีวิธีปฏิบัติที่ดีในการติดตามเกี่ยวกับเครื่องที่ลงชื่อในใบ .. และอื่น ๆ ซึ่งอาจมีหรือไม่มีผลกับคุณ

นอกจากนี้ CA store ภายในจะถูกกำหนดค่าสำหรับผู้ใช้อย่างไร เมื่อคุณยอมรับใบรับรองคุณจะรู้ว่ามันเปลี่ยนไปหรือไม่ .. ซึ่งจะนำฉันกลับไปสู่แนวทางปฏิบัติที่ดีเกี่ยวกับเครื่องจักรที่เซ็นชื่อพวกเขาจริง ๆ (เช่นลงชื่อแล้วถอดปลั๊กออก)

มันมีประโยชน์ที่จะมี CA ภายในของคุณเองถ้าคุณจัดการมันอย่างถูกต้อง กรุณาให้ข้อมูลเพิ่มเติม

— ทิมโพสต์
แหล่งที่มา

0

ปัญหาเกี่ยวกับใบรับรองที่ลงนามด้วยตนเองคือโดยทั่วไปแล้วลูกค้าจะคายคำเตือนเกี่ยวกับเรื่องนี้โดยไม่มีการยืนยัน บางคนอาจบล็อกทั้งหมด

หากนี่เป็นความต้องการภายในอย่างแท้จริงทำไมถึงต้องใช้ https instaed ของ http

ส่วนตัวฉันจะติดกับ http หรือซื้อใบรับรองราคาถูก (พวกเขาไม่แพงเลย)

— cletus
แหล่งที่มา

มีทั้งภายในและภายใน นั่นคือคุณจะต้องมี https เมื่อนักพัฒนาหลักผลักดันการเปลี่ยนแปลงไปยังที่เก็บบางแห่งเพื่อที่ว่า geek จะทำงานในทรัพยากรมนุษย์ (ซึ่งยังไม่ทราบว่าไม่พอใจ) ไม่สามารถทำให้เกิดปัญหาได้ในภายหลัง CA ภายในนั้นมีประโยชน์จริงๆ

— Tim Post