Czy istnieje różnica między certyfikatem z podpisem własnym a certyfikatem podpisanym przez własny urząd certyfikacji?

11

Musimy używać protokołu SSL w naszej sieci wewnętrznej do kilku wrażliwych aplikacji i muszę wiedzieć, czy istnieje różnica między certyfikatem z podpisem własnym a certyfikatem podpisanym przez urząd certyfikacji systemu Windows Server, który konfigurujemy? Czy musimy skonfigurować urząd certyfikacji?

Max Schmeling
źródło

Odpowiedzi:

10

W krótkim okresie dla pojedynczej usługi nie ma dużej różnicy.

Jeśli zdecydujesz, że musisz skonfigurować więcej usług korzystających z protokołu SSL, może się okazać, że lepszym rozwiązaniem byłoby skonfigurowanie urzędu certyfikacji.

Jeśli skonfigurujesz urząd certyfikacji, powinieneś być w stanie zmusić klientów do zaufania urzędowi certyfikacji, a tym samym wszelkich certyfikatów, które podpisuje. Gdy tylko urząd certyfikacji się pojawi, dodawanie dodatkowych usług jest łatwe. W przypadku wielu samopodpisanych certyfikatów użytkownik będzie musiał zaakceptować każdy certyfikat osobno.

Mówisz, że masz urząd certyfikacji systemu Windows? Jeśli już go masz, skorzystałbym z niego. Jeśli jeszcze go nie masz, skusiłbym się na użycie lekkiego systemu, takiego jak TinyCA, który można uruchomić na maszynie wirtualnej lub w systemie Linux na dysku USB.

Zoredache
źródło
Niesamowite! Właśnie takich informacji szukałem.
Max Schmeling
2

Certyfikat może zawierać informacje o tym, do jakich zastosowań jest autoryzowany, na przykład czy może być używany do podpisywania innych certyfikatów klucza publicznego, czy też jest to certyfikat CA. Niektóre implementacje mogą sprawdzać tego rodzaju informacje i odmawiać honorowania certyfikatu dla określonych celów bez odpowiednich informacji

Przykłady tych dodatkowych informacji obejmują:

  • Rozszerzenie „Użycie klucza” (OID 2.5.29.15), które może określać, czy ten certyfikat może być używany do podpisywania certyfikatów klucza.
  • Rozszerzenie „Podstawowe ograniczenia” (OID 2.5.29.19), które określa, czy jest to certyfikat CA.

Jeśli tworzysz własny certyfikat z podpisem własnym i chcesz go używać jako certyfikatu urzędu certyfikacji i chcesz zwiększyć swoje szanse na zaakceptowanie go przez dowolne oprogramowanie, z którym będziesz go używać, prawdopodobnie powinieneś się upewnić zawiera odpowiednio skonfigurowane wartości dla tych dwóch rozszerzeń, o których wspomniałem powyżej.

Jeśli pominiesz te dwa rozszerzenia, wiele implementacji może nadal uznawać je za certyfikat CA, ale niektóre implementacje mogą tego nie robić.

Spiff
źródło
0

Jeśli chcesz podpisać własne certyfikaty, będziesz potrzebować urzędu certyfikacji (niezależnie od tego, czy jest to Twój, czy oficjalny). Ale nie musisz przekazywać swojego urzędu certyfikacji użytkownikom, chyba że planujesz podpisać wiele certyfikatów i chcesz, aby użytkownicy tylko zaakceptowali jeden (tj. Jeśli zainstalują urząd certyfikacji, wszystkie wystawiane przez ciebie certyfikaty zostaną wówczas zaakceptowane). W dłuższej perspektywie lepszym rozwiązaniem może być przekazanie urzędu certyfikacji.

Sójka
źródło
-1

Czy to nie to samo? Certyfikat wydany przez twój wewnętrzny urząd certyfikacji jest „samopodpisany”, co oznacza, że ​​nie został wydany przez zewnętrzny urząd certyfikacji, prawda?

joeqwerty
źródło
Nie. Właściwość „z podpisem własnym” nie ma nic wspólnego z zewnętrznymi i wewnętrznymi urzędami certyfikacji. W rzeczywistości certyfikaty główne wszystkich zewnętrznych urzędów certyfikacji są samopodpisane. Wystarczy przejść do dowolnej witryny SSL, na przykład poczty Google, i sprawdzić każdy certyfikat w łańcuchu certyfikatów.
Prezydent James Moveon Polk