Чи є різниця між самопідписаним сертифікатом та сертифікатом, який підписав ваш власний КА?

Нам потрібно використовувати SSL у нашій внутрішній мережі для кількох конфіденційних програм, і мені потрібно знати, чи є різниця між самопідписаним сертифікатом та сертифікатом, підписаним службою CA Windows Server, яку ми налаштовуємо? Чи потрібно нам створити ЦП?

За короткий термін для однієї послуги різниці не так багато.

Якщо ви вирішите вам налаштувати більше служб, які використовують SSL, то, можливо, ви виявите, що створення ЦС було б кращим вибором.

Якщо ви налаштовуєте ЦС, ви маєте змогу змусити своїх клієнтів довіряти ЦА, і таким чином, будь-які сертифікати, які він підписує. Після того, як вони почали працювати, додавання додаткових послуг легко. З великою кількістю самопідписаних сертифікатів користувачеві доведеться приймати кожен сертифікат окремо.

Ви кажете, що у вас є вікно CA? Якщо у вас вже є, я б скористався ним. Якщо у вас його ще немає, я б спокусився використовувати легку систему на зразок TinyCA, яку можна було б запустити в VM або вимкнути Linux на USB-диску.

Сертифікат може містити інформацію про те, для яких видів використання він дозволений, наприклад, чи дозволено його використовувати для підписання інших сертифікатів відкритого ключа, чи це сертифікат CA. Деякі реалізації можуть перевірити наявність такої інформації та відмовити в пошані сертифіката для певних цілей без потрібної інформації

Приклади цих додаткових відомостей включають:

• Розширення "Ключове використання" (OID 2.5.29.15), яке може вказати, чи дозволено використовувати цей сертифікат для підписання ключового сертифіката чи ні.
• Розширення "Основні обмеження" (OID 2.5.29.19), яке визначає, чи це сертифікат CA.

Якщо ви створюєте свій власний сертифікат, який підписуєте самостійно, і ви хочете використовувати його як сертифікат CA, і ви хочете збільшити шанси прийняти його будь-яким програмним забезпеченням, яке ви будете використовувати, ви, ймовірно, повинні переконатися він містить правильно налаштовані значення для цих двох розширень, про які я згадав вище.

Якщо ви опустите ці два розширення, багато реалізацій все ще можуть вважати це як сертифікат CA, але деякі реалізації можуть не робити.

Якщо ви хочете підписати власні сертифікати, вам знадобиться CA (чи це ваш, чи офіційний). Але вам не потрібно підштовхувати свій ЦА до користувачів, якщо ви не плануєте підписувати декілька сертифікатів і не хочете, щоб ваші користувачі мали прийняти лише один (тобто, якщо вони встановлять ваш ЦА, усі видані вами сертифікати будуть прийняті). Можливо, було б краще підштовхнути ЦС у довгостроковій перспективі.

Хіба вони не те саме? Серт, виданий вашим власним внутрішнім КА, "підписаний само собою", це означає, що його не видав зовнішній КА, правда?