Kami perlu menggunakan SSL di jaringan internal kami untuk beberapa aplikasi sensitif, dan saya perlu tahu apakah ada perbedaan antara sertifikat yang ditandatangani sendiri dan yang ditandatangani oleh Windows Server CA yang kami siapkan? Apakah kita perlu mengatur CA?
Jawaban:
Dalam jangka pendek untuk satu layanan tidak ada banyak perbedaan.
Jika Anda memutuskan untuk menyiapkan lebih banyak layanan yang menggunakan SSL, maka Anda mungkin menemukan bahwa pengaturan CA akan menjadi pilihan yang lebih baik.
Jika Anda menyiapkan CA, Anda harus bisa membuat klien Anda mempercayai CA dan karenanya setiap sertifikat yang ditandatanganinya. Setelah mereka CA naik menambahkan layanan tambahan itu mudah. Dengan banyak sertifikat yang ditandatangani sendiri, pengguna harus menerima setiap sertifikat secara terpisah.
Apakah Anda mengatakan Anda memiliki windows CA? Jika Anda sudah memilikinya, saya akan menggunakannya. Jika Anda belum memilikinya, saya akan tergoda untuk menggunakan sistem yang ringan seperti TinyCA yang dapat Anda jalankan di VM atau dari Linux pada disk USB.
Sertifikat mungkin berisi informasi tentang penggunaan yang diizinkan untuk itu, seperti apakah sertifikat itu boleh digunakan untuk menandatangani sertifikat kunci publik lainnya, atau apakah itu sertifikat CA. Beberapa implementasi dapat memeriksa informasi semacam itu dan menolak untuk menghormati sertifikat untuk tujuan tertentu tanpa info yang benar
Contoh potongan informasi tambahan ini meliputi:
Jika Anda membuat sertifikat yang ditandatangani sendiri, dan Anda ingin menggunakannya sebagai sertifikat CA, dan Anda ingin meningkatkan peluang Anda untuk menerimanya dengan perangkat lunak apa pun yang akan Anda gunakan, Anda mungkin harus memastikan itu berisi nilai-nilai yang dikonfigurasi dengan benar untuk dua ekstensi yang saya sebutkan di atas.
Jika Anda mengabaikan dua ekstensi itu, banyak implementasi mungkin masih menghargainya sebagai CA CA, tetapi beberapa implementasi mungkin tidak.
Jika Anda ingin menandatangani sertifikat Anda sendiri, Anda akan membutuhkan CA (apakah itu milik Anda atau resmi). Tetapi, Anda tidak perlu mendorong CA Anda kepada pengguna kecuali Anda berencana menandatangani beberapa sertifikat dan ingin pengguna Anda hanya harus menerimanya (yaitu, jika mereka memasang CA Anda, semua sertifikat yang Anda terbitkan akan diterima). Mungkin lebih baik untuk mendorong CA dalam jangka panjang.
Bukankah mereka hal yang sama? Sertifikat yang dikeluarkan oleh CA internal Anda sendiri "ditandatangani sendiri", artinya sertifikat tersebut tidak dikeluarkan oleh CA eksternal, bukan?