启动内部authentication中心(主要是Windows 2003 CA)有什么优点和缺点? 我们需要在具有20+证书的项目上encryption服务器 – 服务器通信。 我们可以从Verisign购买证书,但是我认为内部CA可能是更好的长期解决scheme。 所以我期望社区提供一个我们可能通过托pipe我们自己的CA而获得(或失去)什么的利/弊列表? 先谢谢您的帮助。
如果您托pipe自己的CA,则只有在安装了CA根证书的站点/计算机上才有效。 换句话说,仅仅因为你拥有自己的CA并不意味着你的证书将会被陌生人信任。
如果你所有的服务器都是内部的,并通过内部软件访问,那么你自己的CA就是要走的路。 您可以通过GPO部署CA的根证书(如果您位于域中,则将CAangular色安装到服务器中应自动执行此操作),然后域中的每台计算机都将自动进行信任。
但是,如果您的软件是公开访问的(听起来不像是这样),那么另一端的软件可能会提出证书警告,指出它不相信您的发布。 在这种情况下,您唯一的select就是从受信任的发行商那里购买SSL证书(如果您不需要他们的保险政策,则有比Verisign便宜很多,更便宜的地方)。
内部CA只在您拥有的服务器内有效,外部证书在任何地方都是有效的。 这是基本的答案,但还有更多的考虑。
优点
成本 – 证书成本越低,生成的证书就越多
撤销 – 撤销你已经生成的证书是非常容易的,你可以给你的证书有效期短
获得免费证书通常意味着更多的使用 – 通常人们将开始签署他们的电子邮件,pipe理员考虑在混合环境中使用域和服务器隔离
缺点
其他安全要求 – 与机器控制器相比,此机器可能更重要。 这个系统需要完全硬化。 如果您将这些证书用于任何有意义的事情,则需要考虑这些证书是否受到影响的含义
备份/高可用性没有什么坏周末喜欢有人告诉你,你现在已经死了的CA给了他们一个证书,他们用来encryption工资文件,现在不能解密的文件,因为证书不能validation。 确保它经常备份并且高度可用
责任 – 取决于你想要在C级别上使用什么,高级pipe理人员可以决定他们花在VeriSign证书上的所有钱是浪费,因为他们一直在使用你的证书。 如果您的证书被盗用,并且是VeriSign证书(而且我仅仅使用VeriSign作为任何第三方CA的占位符),那么很容易certificate这不是您的错。 如果您拥有CA …那么您的下一次IT经验可能会在您select的快餐店运行电脑收银机。
无法使用外部证书 – 使您的CA公开化并不是不可能的,没有人会信任贵公司的证书。 虽然这不是什么大问题,但是维护2个单独的证书维护任务(到期时间等)需要更多的开销。 你也可以考虑购买一个可信的根证书
哦,如果你需要EV证书,你升级到Windows 2008
虽然看起来似乎有更多的缺点,但其中很多只是需要注意的事情,而不是真正的负面指标。
对于一堆内部服务器,您可以根据需要创build证书,并使用它们比使用和外部CA更快。 你需要一点经验。 像tinyca这样的工具可以很容易地创build一个CA. 对于公开访问的服务器,您将需要来自外部源的证书。
stream量encryption证书通常会间接生成。 如果您只允许来自您的CA的连接,则不必担心有人会从您的外部CA获取证书并join您的networking。 在这种情况下,成本较低的解决scheme可能更安全。