it-swarm-pt.tech

Para um servidor de intranet, você compraria um certificado SSL ou usaria um certificado autoassinado?

Temos um serviço da web que seu aplicativo usa e os desenvolvedores exigem conexões https para o serviço da web. Como este é um serviço da web interno, você usaria um certificado autoassinado?

18
Aaron Fischer

Em vez de um certificado autoassinado, eu criaria uma CA raiz local e, em seguida, geraria o certificado SSL a partir dela, garantindo que todos os sistemas internos tenham uma cópia da chave pública da CA raiz.

As chaves geradas dessa forma têm muitos usos fora do HTTPS simples, elas também podem ser usadas para OpenVPN, POP3S, SMTPS, etc, mesmo para contas SMIME individuais.

Ter uma única CA raiz para sua organização é muito melhor do que ser resgatado por CAs reconhecidas, que irão cobrar por cada servidor para o qual você deseja um certificado e ousar cobrar uma "taxa de licença" se você quiser para colocar o mesmo certificado em vários servidores em um cluster com balanceamento de carga.

23
Alnitak

tente CAcert . eles são gratuitos, você só precisa ter o root instalado. uma etapa acima de ter certificados autoassinados.

3
Darren Kopp

Se o custo for um problema e você estiver centrado no Windows, como sugere o Sr. Denny, vá com os Serviços de Certificados Microsoft e implante os certificados como parte do GPO de Domínio Padrão. Você provavelmente precisará de três sistemas, mas pode ser VMs. Você precisará da CA raiz, que deve ser usada apenas para emitir os certificados das CAs intermediárias. Você deve ter uma CA intermediária como a CA corporativa e a terceira como uma CA "autônoma" para que possa emitir certificados para ativos que não sejam de domínio.

Se você tem muitos clientes e é grande o suficiente, pode considerar ter uma raiz de uma das soluções de terceiros e emitir seus próprios certificados de uma CA que obtém seu certificado desse terceiro. Dessa forma, você não precisa implantar o certificado da CA. Por exemplo, existe uma solução de GeoTrust .

3
K. Brian Kelley

Pelo baixo preço dos certificados iniciais, como o Rapidssl, eu provavelmente compraria um desses, pelo menos se você precisar apenas de uma quantidade mínima deles. Acho que vale a pena pagar a pequena taxa para impedir que os usuários sejam solicitados a aceitar o certificado autoassinado não confiável, pois isso sempre causa alguns problemas com usuários não técnicos.

2
Sam Cogan

Supondo que você seja um domínio do Windows para seus desktops, configure uma CA do Windows internamente, que será automaticamente confiável para todos os computadores da empresa via AD. Dessa forma, você pode emitir certificados para todos os aplicativos internos de que precisa, sem ter que comprar um certificado.

2
mrdenny

Normalmente, sim, eu usaria um certificado PEM autoassinado para essas coisas. No entanto, quão sensível é o site em sua intranet? Existem boas práticas a serem seguidas em relação à máquina que realmente assina os certificados .. e outras, que podem ou não se aplicar a você.

Além disso, como um armazenamento interno da CA seria configurado para os usuários? Depois de aceitar um certificado, você saberá se ele muda ... o que me traz de volta às boas práticas envolvendo a máquina que realmente os assina (ou seja, assine e desconecte-o).

É útil ter sua própria CA interna, se você gerenciá-la corretamente. Forneça mais informações.

1
Tim Post

O problema com um certificado autoassinado é que os clientes geralmente emitem avisos sobre a não verificação. Dependendo das configurações de segurança, alguns podem bloqueá-lo completamente.

Se esta é uma necessidade puramente interna, por que usar https instaurado em vez de http?

Pessoalmente, eu ficaria com http ou compraria um certificado barato (eles não são tão caros).

0
cletus