हमें कुछ संवेदनशील अनुप्रयोगों के लिए अपने आंतरिक नेटवर्क पर एसएसएल का उपयोग करने की आवश्यकता है, और मुझे यह जानने की आवश्यकता है कि क्या स्व-हस्ताक्षरित प्रमाणपत्र और विंडोज सर्वर सीए द्वारा हस्ताक्षरित एक के बीच अंतर है जिसे हम सेटअप करते हैं? क्या हमें CA सेटअप करने की आवश्यकता है?
जवाबों:
एक सेवा के लिए अल्पावधि में बहुत अंतर नहीं होता है।
यदि आप तय करते हैं कि आपको SSL का उपयोग करने वाली अधिक सेवाओं को सेटअप करने की आवश्यकता है, तो आप पा सकते हैं कि CA की स्थापना एक बेहतर विकल्प होगा।
यदि आप एक CA सेटअप करते हैं, तो आपको CA पर भरोसा करने के लिए अपने ग्राहकों को प्राप्त करने में सक्षम होना चाहिए और इस प्रकार यह किसी भी संकेत को इंगित करता है। एक बार जब वे सीए बन जाते हैं तो अतिरिक्त सेवाओं को जोड़ना आसान होता है। कई स्व-हस्ताक्षरित सेरेट्स के साथ एक उपयोगकर्ता को प्रत्येक प्रमाण पत्र को अलग से स्वीकार करना होगा।
क्या आप कह रहे हैं कि आपके पास एक विंडोज़ सीए है? यदि आपके पास पहले से ही एक है, तो मैं इसका उपयोग करूंगा। यदि आपके पास पहले से एक नहीं है, तो मुझे TinyCA जैसी एक हल्की प्रणाली का उपयोग करने के लिए लुभाया जाएगा, जिसे आप VM में चला सकते हैं या USB डिस्क पर लिनक्स से बंद कर सकते हैं।
प्रमाणपत्र में ऐसी जानकारी हो सकती है जिसके लिए वह उपयोग करता है, जिसके लिए वह अधिकृत है, जैसे कि उसे अन्य सार्वजनिक कुंजी प्रमाणपत्रों पर हस्ताक्षर करने के लिए उपयोग करने की अनुमति है या यह CA प्रमाणपत्र है या नहीं। कुछ कार्यान्वयन इस तरह की जानकारी के लिए जाँच कर सकते हैं और सही जानकारी के बिना कुछ उद्देश्यों के लिए प्रमाण पत्र का सम्मान करने से इनकार कर सकते हैं
जानकारी के इन अतिरिक्त टुकड़ों के उदाहरणों में शामिल हैं:
यदि आप अपना स्वयं-हस्ताक्षरित प्रमाण पत्र बना रहे हैं, और आप इसे CA प्रमाण पत्र के रूप में उपयोग करना चाहते हैं, और आप इसे जिस भी सॉफ़्टवेयर के साथ उपयोग कर रहे हैं, उसे स्वीकार किए जाने की संभावना बढ़ाना चाहते हैं, तो आपको यह सुनिश्चित करना चाहिए इसमें उन दो एक्सटेंशनों के लिए ठीक से कॉन्फ़िगर किए गए मान शामिल हैं जिनका मैंने ऊपर उल्लेख किया है।
यदि आप उन दो एक्सटेंशन को छोड़ देते हैं, तो कई कार्यान्वयन अभी भी इसे CA प्रमाणपत्र के रूप में सम्मानित कर सकते हैं, लेकिन कुछ कार्यान्वयन नहीं हो सकते हैं।
यदि आप अपने स्वयं के प्रमाण पत्र पर हस्ताक्षर करना चाहते हैं, तो आपको एक सीए (चाहे वह आपका हो या एक अधिकारी हो) की आवश्यकता होगी। लेकिन, आपको अपने CA को उपयोगकर्ताओं को धकेलने की आवश्यकता नहीं है जब तक कि आप कई प्रमाणपत्रों पर हस्ताक्षर करने की योजना नहीं बनाते हैं और चाहते हैं कि आपके उपयोगकर्ताओं को केवल एक स्वीकार करना होगा (यानी, यदि वे आपके CA को स्थापित करते हैं, तो आपके द्वारा जारी किए गए सभी प्रमाण पत्र स्वीकार किए जाएंगे)। लंबे समय में सीए को धक्का देना बेहतर हो सकता है।
क्या वे एक ही चीज नहीं हैं? आपके स्वयं के आंतरिक CA द्वारा जारी एक प्रमाणपत्र "स्व-हस्ताक्षरित" है, जिसका अर्थ है कि यह बाहरी CA द्वारा जारी नहीं किया गया था, है ना?