1. Trang chủ
  2. Câu hỏi và trả lời
  3. Chứng chỉ đã ký SSL để sử dụng nội bộ

Chứng chỉ đã ký SSL để sử dụng nội bộ

2010-04-20 40 views
8

Tôi có một ứng dụng được phân phối bao gồm nhiều thành phần giao tiếp qua TCP (để kiểm tra JMS) và HTTP. Tất cả các thành phần chạy trên phần cứng nội bộ, với địa chỉ IP nội bộ và không thể truy cập công khai.Chứng chỉ đã ký SSL để sử dụng nội bộ

Tôi muốn đảm bảo an toàn cho giao tiếp bằng SSL. Việc mua chứng chỉ đã ký từ cơ quan cấp chứng chỉ nổi tiếng có ý nghĩa không? Hay tôi nên sử dụng các chứng chỉ tự ký?

Sự hiểu biết của tôi về lợi thế của chứng chỉ đáng tin cậy là thẩm quyền là một thực thể có thể được công chúng tin tưởng - nhưng đó chỉ là vấn đề khi công chúng cần phải chắc chắn rằng thực thể tại một miền cụ thể họ nói họ là ai.

Vì vậy, trong trường hợp của tôi, nơi mà cùng một tổ chức chịu trách nhiệm về các thành phần ở cả hai đầu của giao tiếp và mọi thứ ở giữa, một cơ quan đáng tin cậy công khai sẽ là vô nghĩa. Nói cách khác, nếu tôi tạo và ký giấy chứng nhận cho máy chủ của riêng tôi, tôi biết rằng nó đáng tin cậy. Và không ai từ bên ngoài tổ chức sẽ được yêu cầu tin tưởng chứng chỉ này. Đó là lý do của tôi - tôi có đúng không, hoặc có một số lợi thế tiềm năng để sử dụng certs từ một cơ quan đã biết?

Nguồn

2010-04-20 John B

+0

bạn là chính xác. không có gì khác để nói. – hop

Trả lời

0

Tôi muốn nói rằng điều đó là an toàn hợp lý, trừ khi bạn nghĩ rằng một kẻ xâm nhập ninja sẽ trao đổi máy chủ của bạn với bạn.

Bên thứ ba ở đó để làm cho khó hơn chỉ cần 'lên & tạo' chứng chỉ mới. Ai đó có thể tái tạo chứng chỉ tự ký trên máy mới với cùng chi tiết, nó sẽ không phải là cùng một chứng nhận, bạn cũng phải thêm ngoại lệ cho nó, nhưng người dùng của bạn có thể sẽ không biết sự khác biệt .

Nguồn

2010-04-20 15:22:08 Aren

+0

Đó không phải là sự hiểu biết của tôi về các cơ quan đáng tin cậy. Nhưng tôi là người mới bắt đầu ở công cụ này! Tôi nghĩ rằng ý tưởng là có một chứng nhận từ một cơ quan đáng tin cậy cho phép bạn thuyết phục công chúng nói rằng bạn có thể tin tưởng. Điểm mấu chốt (không có ý định chơi chữ) sẽ là một chứng chỉ trả tiền không khó tạo ra hơn là một chứng chỉ tự ký - đơn giản là nó đến từ một người mà mọi người tin tưởng. Vì vậy, nó giống như sự khác biệt giữa việc làm một thẻ ID mình và nhận được một từ Chính phủ. Bạn có thể tự tạo ra một bản thân độc đáo, không thể tha thứ, nhưng bạn không thể mong đợi bất kỳ ai khác chấp nhận nó? –

+0

Để xây dựng thêm, câu trả lời này bao gồm vai trò của CA: http: // stackoverflow.com/questions/188266/how-are-ssl-certificates-verified "Trình duyệt web của bạn được cài đặt với khóa công khai của tất cả các cơ quan cấp chứng chỉ chính. Nó sử dụng khóa công khai này để xác minh rằng chứng chỉ của máy chủ web thực sự đã được ký bởi cơ quan cấp chứng chỉ tin cậy. " Nói cách khác, việc sử dụng CA đáng tin cậy không có nghĩa là chứng chỉ chưa bị đánh cắp, giả mạo hoặc giả mạo - chỉ rằng chứng chỉ ban đầu được cấp bởi pháp nhân mà máy chủ xác nhận quyền sở hữu được cấp bởi. –

+0

-1. chạy ca riêng của bạn (có thể là tắt dòng) làm cho nó khó như "up & tạo ra một cert mới" như với bất kỳ ca thương mại nào. sự khác biệt _only_ là sự bao gồm theo mặc định trong các trình duyệt. – hop

4

Bạn không cần sử dụng CA công cộng bên ngoài cho dự án cộng đồng kín. Trong nhiều tổ chức lớn hơn, họ vận hành một PKI nội bộ để phát hành các chứng chỉ cho các dự án nội bộ như thế này. Một lợi thế của việc sử dụng PKI là bạn có thể thiết lập mối quan hệ tin cậy giữa các thành phần khác nhau dựa trên một chứng nhận gốc/trust trust được phân phối an toàn duy nhất.

Tuy nhiên, nếu dự án cho phép người dùng nội bộ kết nối an toàn với dịch vụ nội bộ thông qua trình duyệt web của họ, bạn có thể muốn xem xét sử dụng chứng chỉ phát hành CA công khai. Cách khác là đảm bảo rằng mọi trình duyệt có thể cần kết nối với dịch vụ của bạn đều tin cậy chứng chỉ gốc của bạn; điều này là để ngăn chặn các thông điệp cảnh báo của trình duyệt.

Nguồn

2010-04-20 16:04:16 bignum

+0

thật dễ dàng để đưa ca của riêng bạn vào trình duyệt của người dùng bằng quản lý tập trung. cảnh báo trình duyệt không phải là lý do hợp lệ để lãng phí tiền trên một ca thương mại. – hop

+0

@hop không phải lúc nào cũng trong một tổ chức lớn với cơ sở người dùng phức tạp và kiểm soát thay đổi lớn. Trong những môi trường này, nếu bạn cần cung cấp một dịch vụ an toàn cho người dùng trình duyệt, nó có thể rẻ hơn và ít có vấn đề hơn nếu chỉ cần nhận chứng chỉ CA công khai. – bignum

+0

giống như loại tổ chức rối loạn chức năng có thể loại bỏ tất cả các CA thương mại ra khỏi hoang tưởng ngay từ đầu. không cố gắng tạo ra các lập luận ngớ ngẩn rằng - ngay cả khi chúng hợp lệ - sẽ chỉ ảnh hưởng đến một phần nhỏ người dùng SO. cảm ơn bạn. – hop

0

Miễn là hệ thống của bạn đang chạy bên trong nhóm của bạn và không có kế hoạch mở rộng nó (và các kế hoạch thay đổi, hãy ghi nhớ điều đó), bạn chỉ cần thiết lập cơ sở hạ tầng PKI đơn giản của mình.

Nếu bạn cuối cùng mở rộng ra ngoài tổ chức của mình, tất cả những gì bạn cần làm là phân phối chứng chỉ gốc của bạn cho các bên bạn sẽ liên lạc. Điều này cho phép thực sự kiểm soát tốt đối với các đối tác của bạn bao nhiêu niềm tin mà họ muốn đưa vào bạn so với cơ sở hạ tầng CA công cộng.

Nguồn

2010-04-20 16:17:55 Nasko

Các vấn đề liên quan

 Các vấn đề liên quan