Abbiamo un servizio web che utilizza la nostra applicazione e gli sviluppatori richiedono connessioni https al servizio web. Dato che si tratta di un servizio web interno, useresti un certificato autofirmato?
Abbiamo un servizio web che utilizza la nostra applicazione e gli sviluppatori richiedono connessioni https al servizio web. Dato che si tratta di un servizio web interno, useresti un certificato autofirmato?
Risposte:
Piuttosto che un certificato autofirmato creerei una CA radice locale e quindi genererei il certificato SSL da quella, assicurandomi che tutti i sistemi interni abbiano una copia della chiave pubblica della CA radice.
Le chiavi generate in questo modo hanno molti usi al di fuori del semplice HTTPS, possono anche essere utilizzate per OpenVPN, POP3S, SMTPS, ecc., Anche per singoli account SMIME.
Avere una singola CA principale per la tua organizzazione è molto meglio che essere tenuto a riscattare dalle CA riconosciute che ti addebiteranno ogni singolo server per cui desideri un certificato e osano addebitarti una "tassa di licenza" se lo desideri per inserire lo stesso certificato su più server in un cluster con bilanciamento del carico.
prova CAcert . sono gratuiti, devi solo avere il root installato. un passaggio sopra con certificati autofirmati.
Se il costo è un problema e sei incentrato su Windows, come suggerisce Mr. Denny, vai con Microsoft Certificate Services e distribuisci i certificati come parte dell'oggetto Criteri di gruppo di dominio predefinito. Probabilmente avrai bisogno di tre sistemi, ma poi possono essere macchine virtuali. È necessario disporre della CA principale, che deve essere utilizzata solo per l'emissione dei certificati per le CA intermedie. È necessario disporre di una CA intermedia come CA Enterprise e quindi la terza come CA "autonoma" in modo da poter rilasciare certificati ad asset non di dominio.
Se hai molti clienti e sei abbastanza grande, potresti avere il root da una delle soluzioni di terze parti e emettere i tuoi certificati da una CA che ottiene il suo certificato da tale terza parte. In questo modo non è necessario distribuire il certificato della CA. Ad esempio, esiste una soluzione da GeoTrust .
Per il prezzo basso dei certificati di avviamento, come rapidssl, probabilmente acquisterei uno di questi, almeno se ne hai bisogno solo in quantità minima. Ritengo che valga la pena la piccola tassa per impedire agli utenti di accettare il certificato autofirmato non attendibile, poiché causa sempre alcuni problemi con utenti non tecnici.
Supponendo che tu sia un dominio Windows per i tuoi desktop, imposta una CA Windows che sarà automaticamente considerata affidabile da tutti i computer dell'azienda tramite AD. In questo modo puoi inviare certificati a qualsiasi app interna di cui hai bisogno senza dover acquistare un certificato.
Di solito, sì, per tali cose userei un certificato PEM autofirmato. Tuttavia, quanto è sensibile il sito sulla tua intranet? Ci sono buone pratiche da seguire per quanto riguarda la macchina che firma effettivamente i certificati .. e altri, che possono o meno essere applicabili.
Inoltre, come sarebbe configurato un archivio CA interno per gli utenti? Una volta accettato un certificato, saprai se cambia ... il che mi riporta a buone pratiche che coinvolgono la macchina che effettivamente li firma (cioè firma, quindi scollegalo).
È utile avere la propria CA interna, se la si gestisce correttamente. Si prega di fornire ulteriori informazioni.
Il problema con un certificato autofirmato è che i client in genere emetteranno avvisi in merito alla sua non verifica. A seconda delle impostazioni di sicurezza, alcuni potrebbero bloccarlo del tutto.
Se questo è puramente un bisogno interno, perché anche usare https instaed di http?
Personalmente rimarrei con http o comprerei un certificato economico (non sono così costosi).