Нам нужно использовать SSL в нашей внутренней сети для нескольких важных приложений, и мне нужно знать, есть ли разница между самозаверяющим сертификатом и сертификатом, подписанным ЦС Windows Server, который мы настраиваем? Нам нужно настроить ЦС?
В краткосрочной перспективе для одной услуги особой разницы нет.
Если вы решите, что вам нужно настроить больше служб, использующих SSL, то вы можете обнаружить, что установка центра сертификации была бы лучшим выбором.
Если вы настроите ЦС, вы сможете заставить своих клиентов доверять ЦС и, следовательно, любым сертификатам, которые он подписывает. Как только они появятся в CA, добавление дополнительных услуг станет легким. При большом количестве самозаверяющих сертификатов пользователю придется принимать каждый сертификат отдельно.
Вы говорите, что у вас Windows CA? Если он у вас уже есть, я бы его использовал. Если у вас его еще нет, у меня возникнет соблазн использовать легкую систему, такую как TinyCA, которую вы могли бы запускать в виртуальной машине или с Linux на USB-диске.
Сертификат может содержать информацию о том, для каких видов использования он разрешен, например, разрешено ли его использовать для подписи других сертификатов открытого ключа или это сертификат ЦС. Некоторые реализации могут проверять такую информацию и отказываться принимать сертификат для определенных целей без правильной информации.
Примеры этой дополнительной информации включают:
Если вы создаете свой собственный самозаверяющий сертификат и хотите использовать его в качестве сертификата CA, и вы хотите повысить свои шансы на его принятие любым программным обеспечением, с которым вы его будете использовать, вам, вероятно, следует убедиться, что он содержит правильно настроенные значения для этих двух расширений, о которых я упоминал выше.
Если вы опустите эти два расширения, многие реализации могут по-прежнему рассматривать его как сертификат CA, а некоторые реализации - нет.
Если вы хотите подписывать свои собственные сертификаты, вам понадобится ЦС (будь то ваш или официальный). Но вам не нужно продвигать свой CA к пользователям, если вы не планируете подписывать несколько сертификатов и хотите, чтобы ваши пользователи принимали только один (то есть, если они установят ваш CA, все выпущенные вами сертификаты будут приняты). Возможно, в долгосрочной перспективе было бы лучше подтолкнуть CA.
Разве это не одно и то же? Сертификат, выданный вашим собственным внутренним центром сертификации, является «самоподписанным», то есть он не был выпущен внешним центром сертификации, верно?