У меня есть локальная сеть (интрасеть от 50 до 70 компьютеров), где находится Windows Server 2008 с приложением ASP.NET MVC. Чтобы зашифровать соединение с помощью HTTPS, мне нужен сертификат сервера (не самоподписанный, а для развертывания).
Как я могу это сделать? Мне нужен местный центр сертификации? Как я могу это сделать?
Идея ЦС - разделить доверие между несколькими участниками.
Если вы хотите просто общаться с двумя вашего собственного компьютеров, вы можете настроить персональный сертификат (вы можете даже самостоятельно подписать их, что может быть предпочтительнее, поскольку многие приложения с поддержкой сертификатов пытаются проверить подписи), затем вы добавляете этот сертификат в список утвержденных сертификатов клиента.
Поэтому, когда этот клиент пытается подключиться, он сможет оценить доверие к сертификату сервера (в основном, он получит сертификат от сервера, и, поскольку вы добавили тот же сертификат в список доверенных источников, он будет принят. ).
Этот сценарий не обеспечивает хорошей масштабируемости и должен использоваться только для внутренних целей.
Для внутренней сети с большим количеством клиентов, но с одним сервером, у вас есть возможность использовать тот же метод и разработать способ развертывания сертификата на всех компьютерах (или сделать это для каждого из них, если хотите).
Проблема этого подхода заключается в том, что вы не можете добавить другой сервер, не создав новый сертификат и не развернув сертификат нового сервера для всех клиентов. Тогда становится интересно управлять своим собственным ЦС.
Проще говоря, ЦС имеет корневой сертификат (самозаверяющий сертификат), который будет использоваться для подписи других сертификатов. Используя цепочку доверия, созданную сертификатами, вам нужно будет только развернуть корневой сертификат ЦС на всех машинах в сети. Затем они будут автоматически доверять любому сертификату, подписанному вашим корневым сертификатом CA, так что вы можете создать столько серверов, сколько вам нужно, сгенерировать из них сертификат, подписать его, и все готово.
Примечание: о том, как сгенерировать сертификаты, см. Документацию диспетчера сертификатов (openssl, ...), этот сайт не место, чтобы объяснить, как их использовать.