Uygulamamızın kullandığı bir web servisimiz var ve geliştiriciler web servisine https bağlantısı gerektiriyor. Bu dahili bir web hizmeti olduğundan, kendinden imzalı bir sertifika kullanır mısınız?
Uygulamamızın kullandığı bir web servisimiz var ve geliştiriciler web servisine https bağlantısı gerektiriyor. Bu dahili bir web hizmeti olduğundan, kendinden imzalı bir sertifika kullanır mısınız?
Yanıtlar:
Kendinden imzalı bir sertifika yerine, bir yerel kök CA oluşturup bundan sonra SSL sertifikasını oluşturarak tüm dahili sistemlerin kök CA'nın ortak anahtarının bir kopyasına sahip olmasını sağlarım.
Bu şekilde üretilen anahtarların düz HTTPS dışında birçok kullanımı vardır, ayrıca bireysel SMIME hesapları için bile OpenVPN, POP3S, SMTPS vb.
Kuruluşunuz için tek bir kök CA'ya sahip olmak, sertifika istediğiniz her sunucu için sizden ücret alacak ve isterseniz bir "lisans ücreti" talep etmeye cesaret edecek tanınmış CA'lar tarafından fidye altında tutulmaktan çok daha iyidir. aynı sertifikayı yük dengeli bir kümede birden çok sunucuya koymak için.
CAcert'i deneyin . ücretsizdir, sadece kökün kurulu olması gerekir. kendinden imzalı sertifikalara sahip bir adım.
Maliyet bir sorunsa ve Bay Denny'nin önerdiği gibi Windows merkezli iseniz, Microsoft Sertifika Hizmetleri'ne gidin ve sertifikaları Varsayılan Etki Alanı GPO'sunun bir parçası olarak dağıtın. Muhtemelen üç sisteme ihtiyacınız olacak, ancak daha sonra VM'ler olabilir. Yalnızca ara CA'ların sertifikalarını vermek için kullanılması gereken kök CA'ya ihtiyacınız olacaktır. Etki alanı olmayan varlıklara sertifika verebilmeniz için Enterprise CA olarak bir ara CA'ya, ardından da "bağımsız" bir CA'ya sahip olmanız gerekir.
Çok fazla müşteriniz varsa ve yeterince büyükseniz, üçüncü taraf çözümlerinden birinden kök sahibi olabilir ve sertifikasını adı geçen üçüncü taraftan alan bir CA'dan kendi sertifikalarınızı yayınlayabilirsiniz. Bu şekilde CA sertifikasını dağıtmanız gerekmez. Örneğin, GeoTrust'tan bir çözüm var .
Rapidsl gibi başlangıç certs düşük fiyat için, en azından sadece en az miktarda ihtiyacınız varsa, muhtemelen bunlardan birini satın alırdım. Her zaman teknik olmayan kullanıcılarla bazı sorunlara neden olduğu için, kullanıcıların güvenilmeyen kendinden imzalı sertifikayı kabul etmelerini istemek için küçük bir ücrete değer.
Masaüstü bilgisayarlarınız için bir Windows Etki Alanı olduğunuzu varsayarsak, şirketteki tüm bilgisayarlar tarafından otomatik olarak AD aracılığıyla güvenilen bir Windows CA oluşturun. Bu şekilde, bir sertifika satın almak zorunda kalmadan ihtiyacınız olan dahili uygulamalara sertifika verebilirsiniz.
Genellikle, evet, bu tür şeyler için kendinden imzalı bir PEM sertifikası kullanırdım. Ancak, intranetinizdeki site ne kadar hassas? Gerçekte sertifikaları imzalayan makine .. ve sizin için geçerli olabilecek veya olmayabilecek diğerleri hakkında izlenecek iyi uygulamalar vardır.
Ayrıca, dahili bir CA deposu kullanıcılar için nasıl yapılandırılır? Bir sertifikayı kabul ettikten sonra, değişip değişmediğini bileceksiniz .. bu da beni gerçekten imzalayan makineyle ilgili iyi uygulamalara geri götürür (yani imzalayın, fişini çekin).
Doğru yönetirseniz, kendi dahili CA'nıza sahip olmak kullanışlı. Lütfen daha fazla bilgi verin.
Kendinden imzalı bir sertifika ile ilgili sorun, müşteriler genellikle doğrulanmamış olduğuna dair uyarılar verecektir. Güvenlik ayarlarına bağlı olarak, bazıları bunu tamamen engelleyebilir.
Eğer bu tamamen içsel bir ihtiyaçsa, neden http`de oluşturulan https kullanıyorsunuz?
Şahsen ben http ile sopa ya da ucuz bir sertifika satın almak istiyorum (o kadar pahalı değil).