Tenemos un servicio web que utiliza nuestra aplicación y los desarrolladores requieren conexiones https al servicio web. Dado que este es un servicio web interno, ¿utilizaría un certificado autofirmado?
En lugar de un certificado autofirmado, crearía una CA raíz local y luego generaría el certificado SSL a partir de eso, asegurando que todos los sistemas internos tengan una copia de la clave pública de la CA raíz.
Las claves generadas de esta manera tienen muchos usos fuera de HTTPS simple, también se pueden usar para OpenVPN, POP3S, SMTPS, etc., incluso para cuentas SMIME individuales.
Tener una única CA raíz para su organización es mucho mejor que ser retenido por las CA reconocidas que le cobrarán por cada servidor para el que desea un certificado y se atreven a cobrarle una "tarifa de licencia" si lo desea poner el mismo certificado en varios servidores en un clúster de carga equilibrada.
prueba CAcert . son gratis, solo necesitas tener la raíz instalada. un paso arriba con certificados autofirmados.
Si el costo es un problema y usted está centrado en Windows, como sugiere el Sr. Denny, vaya con los Servicios de certificados de Microsoft e implemente los certificados como parte del GPO de dominio predeterminado. Probablemente necesitará tres sistemas, pero luego pueden ser máquinas virtuales. Necesitará la CA raíz, que solo debe usarse para emitir los certificados para las CA intermedias. Debe tener una CA intermedia como Enterprise CA y luego la tercera como una CA "autónoma" para que pueda emitir certificados para activos que no sean de dominio.
Si tiene muchos clientes y es lo suficientemente grande, puede considerar tener una raíz de una de las soluciones de terceros y emitir sus propios certificados de una CA que obtiene su certificado de dicho tercero. De esa manera no tiene que implementar el certificado de la CA. Por ejemplo, hay una solución de GeoTrust .
fuente
Por el bajo precio de los certificados de inicio, como rapidssl, probablemente compraría uno de estos, al menos si solo necesita una cantidad mínima de ellos. Creo que vale la pena pagar una pequeña tarifa para evitar que se les pida a los usuarios que acepten el certificado autofirmado no confiable, ya que siempre causa algunos problemas con los usuarios no técnicos.
fuente
Suponiendo que usted es un Dominio de Windows para sus equipos de escritorio, configure una CA de Windows internamente en la que todas las computadoras de la compañía confiarán automáticamente a través de AD. De esta manera, puede emitir certificados para las aplicaciones internas que necesite sin tener que comprar un certificado.
fuente
Por lo general, sí, usaría un certificado PEM autofirmado para tales cosas. Sin embargo, ¿qué tan sensible es el sitio en su intranet? Hay buenas prácticas a seguir con respecto a la máquina que realmente firma los certificados ... y otros, que pueden o no aplicarse en su caso.
Además, ¿cómo se configuraría una tienda de CA interna para los usuarios? Una vez que acepte un certificado, sabrá si cambia ... lo que me devuelve a las buenas prácticas que involucran a la máquina que realmente los firma (es decir, firme, luego desconéctelo).
Es útil tener su propia CA interna, si la administra correctamente. Por favor proporcione más información.
fuente
El problema con un certificado autofirmado es que los clientes generalmente emiten advertencias acerca de que no está verificado. Dependiendo de la configuración de seguridad, algunos pueden bloquearlo por completo.
Si esto es puramente una necesidad interna, ¿por qué incluso usar https instaed de http?
Personalmente, me quedaría con http o compraría un certificado barato (no son tan caros).
fuente