Kami memiliki layanan web yang digunakan aplikasi kami dan pengembang memerlukan koneksi https ke layanan web. Karena ini adalah layanan web internal, apakah Anda akan menggunakan sertifikat yang ditandatangani sendiri?
Kami memiliki layanan web yang digunakan aplikasi kami dan pengembang memerlukan koneksi https ke layanan web. Karena ini adalah layanan web internal, apakah Anda akan menggunakan sertifikat yang ditandatangani sendiri?
Jawaban:
Daripada sertifikat yang ditandatangani sendiri, saya akan membuat CA root lokal dan kemudian menghasilkan sertifikat SSL dari itu, memastikan bahwa semua sistem internal memiliki salinan kunci publik CA root.
Kunci yang dihasilkan dengan cara ini memiliki banyak kegunaan di luar HTTPS biasa, mereka juga dapat digunakan untuk OpenVPN, POP3S, SMTPS, dll, bahkan untuk akun SMIME individual.
Memiliki CA root tunggal untuk organisasi Anda jauh lebih baik daripada ditahan untuk tebusan oleh CA yang diakui yang akan menagih Anda untuk setiap dan setiap server yang Anda inginkan sertifikat, dan berani menagih Anda "biaya lisensi" jika Anda ingin untuk menempatkan sertifikat yang sama pada beberapa server dalam sebuah cluster beban-seimbang.
coba CAcert . mereka gratis, Anda hanya perlu menginstal root. satu langkah di atas memiliki sertifikat yang ditandatangani sendiri.
Jika biaya adalah masalah dan Anda adalah Windows sentris, seperti yang disarankan oleh Denny, buka Microsoft Certificate Services dan gunakan sertifikat sebagai bagian dari Default Domain GPO. Anda mungkin membutuhkan tiga sistem, tetapi bisa berupa VM. Anda akan membutuhkan root CA, yang seharusnya hanya digunakan untuk menerbitkan sertifikat untuk CA perantara. Anda harus memiliki satu CA perantara sebagai CA Enterprise dan kemudian CA ketiga sebagai CA "berdiri sendiri" sehingga Anda dapat mengeluarkan sertifikat ke aset non-domain.
Jika Anda memiliki banyak klien dan Anda cukup besar, Anda mungkin melihat memiliki root dari salah satu solusi pihak ketiga dan mengeluarkan sertifikat Anda sendiri dari CA yang mendapatkan sertifikatnya dari pihak ketiga tersebut. Dengan begitu Anda tidak perlu menggunakan sertifikat CA. Misalnya, ada solusi dari GeoTrust .
Untuk harga yang rendah untuk sertifikat pemula, seperti rapidssl, saya mungkin akan membeli salah satunya, setidaknya jika Anda hanya membutuhkan jumlah minimal. Saya merasa nilainya dengan biaya kecil untuk menghentikan pengguna diminta untuk menerima sertifikat yang ditandatangani sendiri yang tidak dipercaya, karena selalu menyebabkan beberapa masalah dengan pengguna non-teknis.
Dengan asumsi bahwa Anda adalah Domain Windows untuk desktop Anda, setup Windows CA di rumah yang secara otomatis akan dipercaya oleh semua komputer di perusahaan melalui AD. Dengan cara ini Anda dapat mengeluarkan sertifikat untuk aplikasi internal apa pun yang Anda perlukan tanpa harus membeli sertifikat.
Biasanya, ya, saya akan menggunakan sertifikat PEM yang ditandatangani sendiri untuk hal-hal seperti itu. Namun, seberapa sensitif situs pada intranet Anda? Ada praktik baik yang harus diikuti terkait dengan mesin yang benar-benar menandatangani sertifikat .. dan lainnya, yang mungkin atau mungkin tidak berlaku untuk Anda.
Juga, bagaimana toko CA internal dikonfigurasikan untuk pengguna? Setelah Anda menerima sertifikat, Anda akan tahu apakah itu berubah .. yang membawa saya kembali ke praktik baik yang melibatkan mesin yang benar-benar menandatanganinya (yaitu tanda, lalu cabut stekernya).
Berguna untuk memiliki CA internal Anda sendiri, jika Anda mengelolanya dengan benar. Harap berikan informasi lebih lanjut.
Masalah dengan sertifikat yang ditandatangani sendiri adalah klien umumnya akan memuntahkan peringatan tentang hal itu tidak diverifikasi. Tergantung pada pengaturan keamanan, beberapa mungkin memblokirnya sama sekali.
Jika ini murni kebutuhan internal, mengapa menggunakan https instaed dari http?
Secara pribadi saya akan tetap dengan http atau membeli sertifikat murah (mereka tidak semahal itu).