我们需要在我们的内部网络上为一些敏感的应用程序使用 SSL,我需要知道自签名证书和我们设置的 Windows Server CA 签名的证书之间是否有区别?我们需要设置 CA 吗?
AskOverflow.Dev
我们需要在我们的内部网络上为一些敏感的应用程序使用 SSL,我需要知道自签名证书和我们设置的 Windows Server CA 签名的证书之间是否有区别?我们需要设置 CA 吗?
在短期内,单一服务没有太大区别。
如果您决定需要设置更多使用 SSL 的服务,那么您可能会发现设置 CA 会是更好的选择。
如果您设置 CA,您应该能够让您的客户信任 CA,从而信任它签署的任何证书。一旦他们的 CA 建立起来,添加额外的服务就很容易了。对于大量自签名证书,用户必须分别接受每个证书。
你是说你有一个Windows CA?如果你已经有一个,我会用它。如果您还没有,我会很想使用像 TinyCA 这样的轻量级系统,您可以在 VM 中运行,也可以在 USB 磁盘上的 Linux 上运行。
证书可能包含有关其被授权用于哪些用途的信息,例如是否允许将其用于签署其他公钥证书,或者它是否是 CA 证书。某些实现可能会检查此类信息并拒绝在没有正确信息的情况下出于某些目的兑现证书
这些额外信息的示例包括:
如果您正在创建自己的自签名证书,并且希望将其用作 CA 证书,并且希望增加您将使用它的任何软件接受它的机会,您可能应该确保它包含我上面提到的这两个扩展的正确配置的值。
如果省略这两个扩展,许多实现可能仍将其视为 CA 证书,但某些实现可能不会。
如果您想签署自己的证书,则需要一个 CA(无论是您的还是官方的)。但是,您不需要将您的 CA 推送给用户,除非您计划签署多个证书并希望您的用户只需要接受一个(即,如果他们安装了您的 CA,那么您颁发的所有证书都将被接受)。从长远来看,推动 CA 可能会更好。
他们不是一样的吗?由您自己的内部 CA 颁发的证书是“自签名的”,这意味着它不是由外部 CA 颁发的,对吧?