C'è una differenza tra un certificato auto-firmato e uno firmato dalla propria CA?

Abbiamo bisogno di utilizzare SSL sulla nostra networking interna per alcune applicazioni sensibili e devo sapere se c'è una differenza tra un certificato self-signed e uno firmato da una CA di Windows Server che abbiamo configurato? Abbiamo bisogno di configurare una CA?

  • Posizione del certificato SSL su UNIX / Linux
  • Rinnovo di SBS2011 Exchange Self-Signed Certificate con la modifica della home page in IE?
  • Come funziona il passaggio del certificato HTTPS (ad esempio suche.org)?
  • Il nuovo certificato SSL di Exchange 2007 interrompe l'accesso di Iphone
  • Errore keytool: la risposta del certificato non contiene la chiave pubblica per
  • Outlook 2010 Avviso circa Old Cert che non esiste più sul server di Exchange 2007
  • 4 Solutions collect form web for “C'è una differenza tra un certificato auto-firmato e uno firmato dalla propria CA?”

    A breve termine per un singolo servizio non c'è molta differenza.

    Se decidi di disporre di più servizi che utilizzano SSL, si potrebbe scoprire che l'impostazione di una CA sarebbe stata una scelta migliore.

    Se si imposta una CA, è necessario che i clienti siano in grado di fidarsi della CA e quindi di tutti i segni che segnalano. Una volta che CA ha aggiunto servizi aggiuntivi è facile. Con un sacco di autografi, un utente dovrà accettare separatamente ciascun certificato.

    Stai dicendo che hai una window CA? Se ne hai già uno, lo uso. Se non lo hai già, sarò tentato di utilizzare un sistema leggero come TinyCA, che potresti eseguire in un VM o su un Linux su un disco USB.

    Un certificato può contenere informazioni su quali utilizzi è autorizzato, ad esempio se è consentito di essere utilizzato per la firma di altri certificati di chiave pubblica o se si tratta di un certificato CA. Alcune implementazioni possono verificare tale tipo di informazioni e rifiutare di onorare un certificato per determinati scopi senza le informazioni corrette

    Esempi di queste informazioni aggiuntive includono:

    • L'estensione "Utilizzo chiave" (OID 2.5.29.15), che potrebbe specificare se il certificato può essere utilizzato o less per la firma di certificati chiave.
    • L'estensione "Vincoli di base" (OID 2.5.29.19), che specifica se è un certificato CA.

    Se stai creando il proprio autoscattimo e tu vuoi usarlo come un certificato CA e desideri aumentare le tue possibilità di accettarlo da qualunque software con cui userai, probabilmente dovresti assicurarvi che contiene valori correttamente configurati per le due estensioni di cui sopra.

    Se si omettono queste due estensioni, molte implementazioni potrebbero ancora essere onorate come un CA cert, ma alcune implementazioni potrebbero non essere.

    Se desideri firmare i tuoi certificati, ti servirà una CA (se è tua o quella ufficiale). Tuttavia, non è necessario spingere l'utente CA a less che non si preveda di firmare più certificati e desideri che gli utenti solo debbano accettarne uno (ad esempio, se installano la CA, tutti i certificati da te rilasci saranno quindi accettati). Potrebbe essere meglio spingere la CA a lungo termine.

    Non sono la stessa cosa? Un certificato rilasciato dalla propria CA interna è "self-signed", il che significa che non è stato rilasciato da una CA esterna, giusto?

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.