it-swarm-ko.tech

인트라넷 서버의 경우 SSL 인증서를 구입하거나 자체 서명 된 인증서를 사용 하시겠습니까?

애플리케이션에서 사용하는 웹 서비스가 있으며 개발자는 웹 서비스에 대한 https 연결이 필요합니다. 이것은 내부 웹 서비스이므로 자체 서명 된 인증서를 사용 하시겠습니까?

18
Aaron Fischer

자체 서명 된 인증서 대신 로컬 루트 CA를 만든 다음 여기에서 SSL 인증서를 생성하여 모든 내부 시스템에 루트 CA'sl 공개 키의 복사본이 있는지 확인합니다.

이러한 방식으로 생성 된 키는 일반 HTTPS 외부에서 많이 사용되며 개별 SMIME 계정에서도 OpenVPN, POP3S, SMTPS 등에 사용할 수 있습니다.

조직에 단일 루트 CA를 보유하는 것이 인증을 원하는 각 서버에 대해 비용을 청구하고 원하는 경우 "라이선스 요금"을 감히 청구하는 공인 CA에 의해 몸값을받는 것보다 훨씬 낫습니다. 부하가 분산 된 클러스터의 여러 서버에 동일한 인증서를 배치합니다.

23
Alnitak

Denny가 제안한 것처럼 비용이 문제이고 Windows 중심적이라면 Microsoft 인증서 서비스를 사용하여 기본 도메인 GPO의 일부로 인증서를 배포하십시오. 세 개의 시스템이 필요할 수 있지만 VM이 될 수 있습니다. 중간 CA에 대한 인증서를 발급하는 데만 사용해야하는 루트 CA가 필요합니다. 비 도메인 자산에 인증서를 발급 할 수 있도록 하나의 중간 CA를 엔터프라이즈 CA로, 세 번째는 "독립 실행 형"CA로 가져야합니다.

클라이언트가 많고 충분히 큰 경우 타사 솔루션 중 하나에서 루트를 가져와 해당 타사에서 인증서를 가져 오는 CA에서 자체 인증서를 발급하는 방법을 살펴볼 수 있습니다. 이렇게하면 CA의 인증서를 배포 할 필요가 없습니다. 예를 들어, GeoTrust 의 솔루션이 있습니다.

3
K. Brian Kelley

Rapidssl과 같은 저렴한 가격의 스타터 인증서의 경우 최소한 최소한의 양만 필요하다면 이들 중 하나를 구입할 것입니다. 비 기술적 사용자에게 항상 문제가 발생하기 때문에 사용자가 신뢰할 수없는 자체 서명 된 인증서를 수락하도록 요청하는 것을 막을 수있는 적은 비용을 지불 할 가치가 있다고 생각합니다.

2
Sam Cogan

데스크톱 용 Windows 도메인이라고 가정하고 AD를 통해 회사의 모든 컴퓨터에서 자동으로 신뢰할 수있는 Windows CA를 사내에 설정합니다. 이렇게하면 인증서를 구매하지 않고도 필요한 내부 앱에 인증서를 발급 할 수 있습니다.

2
mrdenny

일반적으로 예, 이러한 작업에는 자체 서명 된 PEM 인증서를 사용합니다. 그러나 인트라넷의 사이트는 얼마나 민감합니까? 실제로 인증서에 서명하는 기계와 관련하여 따라야 할 좋은 관행이 있습니다.

또한 사용자를 위해 내부 CA 저장소를 어떻게 구성합니까? 인증서를 수락하면 변경 사항이 있는지 알 수 있습니다. .. 실제로 인증서에 서명하는 컴퓨터와 관련된 모범 사례로 돌아갑니다 (즉, 서명 한 다음 플러그를 뽑습니다).

올바르게 관리하는 경우 자체 내부 CA를 갖는 것이 편리합니다. 더 많은 정보를 제공해주세요.

1
Tim Post

자체 서명 된 인증서의 문제는 클라이언트가 일반적으로 확인되지 않은 인증서에 대한 경고를 표시한다는 것입니다. 보안 설정에 따라 일부는 완전히 차단할 수 있습니다.

이것이 순전히 내부 요구 사항이라면 왜 http의 https를 사용합니까?

개인적으로 나는 http를 고수하거나 값싼 인증서를 구입할 것입니다 (그렇게 비싸지 않습니다).

0
cletus