Kendinden imzalı bir sertifika ile kendi CA'nız tarafından imzalanmış bir sertifika arasında fark var mı?

11

Birkaç hassas uygulama için dahili ağımızda SSL kullanmamız gerekiyor ve kendinden imzalı bir sertifika ile kurduğumuz bir Windows Server CA'sı tarafından imzalanmış sertifika arasında bir fark olup olmadığını bilmem gerekiyor mu? Bir CA kurmamız gerekiyor mu?

security  ssl-certificate 
Max Schmeling
kaynak

Yanıtlar:

10

Kısa vadede tek bir hizmet için çok fazla fark yoktur.

SSL kullanan daha fazla hizmet kurmanız gerektiğine karar verirseniz, bir CA kurmanın daha iyi bir seçim olduğunu görebilirsiniz.

Bir CA kurarsanız, müşterilerinizin CA'ya ve dolayısıyla imzaladığı sertifikalara güvenmesini sağlayabilirsiniz. Onlar CA kadar ek hizmetler eklemek kolaydır. Kendinden imzalı birçok sertifika ile kullanıcının her sertifikayı ayrı ayrı kabul etmesi gerekir.

Windows CA'nız olduğunu mu söylüyorsunuz? Zaten bir tane varsa, onu kullanırdım. Zaten bir tane yoksa, bir VM'de veya bir USB diskte bir Linux'ta çalıştırabileceğiniz TinyCA gibi hafif bir sistem kullanmak cazip olurdu.

Zoredache
kaynak
Müthiş! Aradığım şey tam olarak bu.
Max Schmeling
2

Bir sertifika, diğer ortak anahtar sertifikalarını imzalamak için kullanılmasına izin verilip verilmediği veya bir CA sertifikası olup olmadığı gibi hangi kullanımlara izin verildiği hakkında bilgi içerebilir. Bazı uygulamalar bu tür bilgileri kontrol edebilir ve doğru bilgi olmadan belirli amaçlar için bir sertifikayı onurlandırmayı reddedebilir

Bu ekstra bilgi örneklerine şunlar dahildir:

  • Bu sertifikanın Anahtar Sertifika İmzalama için kullanılmasına izin verilip verilmeyeceğini belirtebilecek "Anahtar Kullanımı" uzantısı (OID 2.5.29.15).
  • Bunun bir CA sertifikası olup olmadığını belirten "Temel Sınırlamalar" uzantısı (OID 2.5.29.19).

Kendi imzasını taşıyan sertifikanızı oluşturuyorsanız ve bunu bir CA sertifikası olarak kullanmak istiyorsanız ve kullanmakta olduğunuz herhangi bir yazılım tarafından kabul edilme şansınızı artırmak istiyorsanız, muhtemelen yukarıda bahsettiğim bu iki uzantı için uygun şekilde yapılandırılmış değerler içeriyor.

Bu iki uzantıyı atlarsanız, birçok uygulama yine de CA sertifikası olarak onurlandırılabilir, ancak bazı uygulamalar çalışmayabilir.

Spiff
kaynak
0

Kendi sertifikalarınızı imzalamak istiyorsanız, bir CA'ya ihtiyacınız olacaktır (ister sizin ister resmi bir sertifika olsun). Ancak, birden fazla sertifika imzalamayı planlamadığınız ve kullanıcılarınızın yalnızca bir sertifika kabul etmesini istemediğiniz sürece CA'nızı kullanıcılara aktarmanız gerekmez (yani, CA'nızı yüklerse, verdiğiniz tüm sertifikalar kabul edilir). CA'yı uzun vadede zorlamak daha iyi olabilir.

alakarga
kaynak
-1

Aynı şey değil mi? Kendi dahili CA'nız tarafından verilen bir sertifika "kendinden imzalı" dır, yani harici bir CA tarafından yayınlanmamıştır, değil mi?

joeqwerty
kaynak
Hayır. "Kendinden imzalı" özelliğin harici veya dahili CA'larla hiçbir ilgisi yoktur. Aslında, tüm harici CA'ların kök sertifikaları kendinden imzalıdır. Google posta gibi herhangi bir SSL web sitesine gidin ve sertifika zincirindeki her sertifikayı inceleyin.
Başkan James Moveon Polk
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.