Прежде всего, я должен отметить, что у нас в ИТ нет никого, кто серьезно знаком с самоподписанной сертификацией. У нас есть умеренно разветвленная сеть (один лес, много мест), и сейчас мы внедряем внутреннюю подпись кода; до сих пор пользователи запускали ненадежный код, или мы даже отключили (!) предупреждения. Приложения, скрипты и сайты интрасети теперь будут подписываться с помощью самосертификации.
Я знаю два очевидных способа развертывания этого: распространение ключей напрямую через групповую политику и настройка сервера сертификатов. Может кто-нибудь объяснить компромиссы между этими двумя методами? Сколько сертификатов до метода групповой политики является громоздким? Достаточно ли они велики, чтобы у удаленных пользователей возникли проблемы? Распространяет ли метод групповой политики дубликаты при каждом входе в систему? Есть ли лучший метод, о котором я не знаю?
Я могу найти много документации по сертификатам и различным способам их создания, но мне не удалось найти что-то, что суммировало бы разницу между методами распространения и критериями, по которым тот или иной лучше.
Вы находитесь в трудном положении - обычно полезно иметь / проконсультироваться с кем-то, у кого есть опыт работы с PKI, потому что легко, ммм, сильно облажаться. С учетом сказанного, есть довольно много ресурсов, доступных для общественного потребления, и MS улучшила ADCS с момента появления Server 2000.
Чтобы использовать сертификаты подписи кода, вам понадобится инфраструктура CA, которая отличается от распространения сертификатов / ключей. Без сервера сертификатов (размещенного или собственного) нет ключей для распространения. Я предполагаю, что вы сравниваете размещенную службу с собственной.
Я бы рекомендовал взглянуть на размещенные / управляемые решения, если у вашей организации нет навыков / опыта для самостоятельного развертывания. Это особенно важно, если вы планируете подписать код, который будет распространяться среди общественности. Такие компании, как Symantec (владеет Verisign, Thawte и GeoTrust), Entrust, Comodo, GoDaddy, DigiCert и любые другие общедоступные центры сертификации (CA), будут предлагать сертификаты подписи кода за ежегодную плату. Преимущество в том, что вам просто нужно выяснить, где его разместить и сколько сертификатов подписи кода вам нужно. Стоимость будет немного выше, чем при распространении собственного кода, но если вы собираетесь распространять общедоступный код, то это ваш лучший вариант. Во всяком случае, я бы рекомендовал взглянуть на продукты Verisign, потому что они лучше всего совместимы с устаревшими хранилищами ключей. Новые центры сертификации могут поддерживать 99% современный браузеры, но могут работать некорректно со старыми версиями или с другими хранилищами ключей - например, JKS.
Если код предназначен для внутреннего использования и стоимость управляемого центра сертификации слишком высока, вы можете развернуть собственную инфраструктуру. Это включает в себя настройку CA (ADCS, на основе OpenSSL, RSA, Entrust) и создание канала распространения. Групповая политика упрощает распространение сертификатов ЦС, а также регистрацию сертификатов. Брайан Комар опубликовал несколько книг о службах сертификации Microsoft. Komar предлагает исчерпывающий обзор по этому вопросу, поэтому я рекомендую кому-то получить копию, прежде чем они начнут настраивать вашу собственную инфраструктуру CA.
HTH
Если вам просто нужна информация для подписи кода, я работаю с Брюсом, и он подготовил серию статей на эту тему. http://ssl.entrust.net/blog/?p=908
Если вам нужно полное развертывание PKI, есть варианты для локального и управляемого обслуживания. Я скажу, что, работая в Entrust, мы были бы рады помочь, где можем, но как минимум я хотел бы поделиться блогами Брюса о подписи кода, которые могут помочь в сборе информации.
Удачи