Cha*_*had 6 certificate-authority
建立内部证书颁发机构(主要是 Windows 2003 CA)的利弊是什么?我们需要对具有 20 多个证书的项目上的服务器-服务器流量进行加密。我们可以从 Verisign 购买证书,但我认为内部 CA 可能是更好的长期解决方案。所以我希望社区提供一份利弊列表,说明我们通过托管自己的 CA 可能获得(或失去)什么?在此先感谢您的帮助。
Mar*_*son 12
如果您托管自己的 CA,则它仅在安装了 CA 根证书的站点/计算机中有效。换句话说,仅仅因为您拥有自己的 CA 并不意味着您的证书会被陌生人信任。
如果您的所有服务器都在内部并通过内部软件访问,那么您自己的 CA 是可行的方法。您可以通过 GPO 部署 CA 的根证书(如果您在域中,那么将 CA 角色安装到服务器中应该会自动执行此操作),然后域中的每台计算机都会自动信任它。
但是,如果您的软件被公开访问(听起来不像),那么另一端的软件很可能会显示证书警告,说明它不信任您发布的。在这种情况下,您唯一的选择是从受信任的发行商处购买 SSL 证书(如果您不需要他们的保险单,有些地方比威瑞信便宜得多)。
内部 CA 仅在您拥有的服务器内部有效,并且外部证书在任何地方都适用。这是基本的答案,但还有很多需要考虑的。
优点
Cost- per cert 成本越低,您生成的证书越多
撤销 - 撤销您生成的证书非常容易,并且您可以为您的证书设置较短的有效期
访问免费证书通常意味着更多的使用 - 通常人们会开始签署他们的电子邮件,管理员考虑在混合环境中使用域和服务器隔离
缺点
额外的安全要求 - 这台机器可能比域控制器更重要。这个系统需要完全加固。如果您将这些证书用于任何有意义的事情,您需要考虑这些证书受到损害时的影响
备份/高可用性 - 没有什么比让 HR 告诉您您现在已死的 CA 给了他们一个用于加密工资单文件的证书更能说明糟糕的周末了,但现在无法解密文件,因为无法验证该证书。确保它经常备份并且高度可用
责任 - 取决于您想将这些用于某些 C 级执行官的用途,他们可能会认为他们在 VeriSign 证书上花费的所有钱都是浪费,因为他们一直在很好地使用您的证书。如果您的证书遭到破坏并且它是 VeriSign 证书(我只是将 VeriSign 用作任何第三方 CA 的占位符),那么很容易表明这不是您的错。如果您拥有 CA……那么您的下一次 IT 体验可能是在您选择的快餐店运行计算机化收银机。
无法使用外部证书 - 公开您的 CA 并非不可能,没有人会信任您公司的证书。虽然这不是什么大问题,但维护 2 个单独的证书维护任务(到期时间等)会带来更多开销。您也可以考虑购买受信任的根证书
哦,如果您需要 EV 证书 - 您正在升级到 Windows 2008
虽然看起来有更多的缺点,但其中许多只是需要注意的事情,而不是真正的负面指标。