Joh*_*n B 10 ssl certificate trusted
我有一个分布式应用程序,包含许多通过TCP(例如JMS)和HTTP进行通信的组件.所有组件都在内部硬件上运行,具有内部IP地址,并且公众无法访问.
我想使用SSL使通信安全.从知名证书颁发机构购买签名证书是否有意义?或者我应该使用自签名证书?
我对可信证书的优势的理解是,权威是一个可以被公众信任的实体 - 但这只是当一般公众需要确定特定领域的实体是他们所说的人时的问题.是.
因此,在我的情况下,同一组织负责通信两端的组件以及介于两者之间的所有组件,公共信任的权限将毫无意义.换句话说,如果我为自己的服务器生成并签署证书,我知道它是值得信赖的.并且不会要求组织外部的任何人信任此证书.这是我的推理 - 我是正确的,还是使用来自已知权威机构的证书有一些潜在的优势?
您无需为封闭的社区项目使用外部公共 CA。在许多较大的组织中,他们运行内部 PKI 来为此类内部项目颁发证书。使用 PKI 的一个优点是您可以基于单个安全分发的根证书/信任锚在各种组件之间建立信任关系。
但是,如果项目允许内部用户通过他们的 Web 浏览器安全地连接到内部服务,您可能需要考虑使用公共 CA 颁发的证书。另一种方法是确保可能需要连接到您的服务的每个浏览器都信任您的根证书;这是为了防止浏览器警告消息。
我想说这是相当安全的,除非你认为忍者渗透者会交换你的服务器。
第三方的存在是为了让“创建并生成”新证书变得更加困难。有人可以在具有相同详细信息的新计算机上重新创建自签名证书,它不会是相同的证书,您也必须为其添加例外,但您的用户可能不会知道其中的区别。
| 归档时间: |
|
| 查看次数: |
8987 次 |
| 最近记录: |