हमारे पास एक webservice है जिसका उपयोग हमारा एप्लिकेशन करता है और डेवलपर्स को webservice के लिए https कनेक्शन की आवश्यकता होती है। चूंकि यह एक आंतरिक webservice है आप स्व हस्ताक्षरित प्रमाण पत्र का उपयोग करेंगे?
हमारे पास एक webservice है जिसका उपयोग हमारा एप्लिकेशन करता है और डेवलपर्स को webservice के लिए https कनेक्शन की आवश्यकता होती है। चूंकि यह एक आंतरिक webservice है आप स्व हस्ताक्षरित प्रमाण पत्र का उपयोग करेंगे?
जवाबों:
स्व-हस्ताक्षरित प्रमाण पत्र के बजाय, मैं एक स्थानीय रूट CA बनाऊंगा और फिर उससे SSL प्रमाणपत्र तैयार करूंगा, जिससे यह सुनिश्चित हो सके कि सभी आंतरिक प्रणालियों में मूल CA की सार्वजनिक कुंजी की एक प्रति है।
इस तरह से उत्पन्न कीज़ के पास सादे HTTPS के बाहर बहुत सारे उपयोग हैं, उनका उपयोग OpenVPN, POP3S, SMTPS, आदि के लिए भी किया जा सकता है, यहाँ तक कि व्यक्तिगत SMIME खातों के लिए भी।
अपने संगठन के लिए एक रूट सीए होने से मान्यता प्राप्त सीए द्वारा फिरौती के लिए बहुत बेहतर है, जो आप के लिए एक प्रमाण पत्र चाहते हैं प्रत्येक सर्वर के लिए आपसे शुल्क लेगा, और यदि आप चाहते हैं तो आपसे "लाइसेंस शुल्क" वसूलने की हिम्मत करें। एक लोड-संतुलित क्लस्टर में कई सर्वर्स पर एक ही सर्टिफिकेट लगाना।
CAcert आज़माएं । वे स्वतंत्र हैं, आपको बस रूट को स्थापित करने की आवश्यकता है। स्व हस्ताक्षरित प्रमाण पत्र के ऊपर एक कदम।
यदि लागत एक समस्या है और आप विंडोज सेंट्रिक हैं, जैसा कि श्री डेनी सुझाव देते हैं, तो Microsoft प्रमाणपत्र सेवाओं के साथ जाएं और प्रमाणपत्रों को डिफ़ॉल्ट डोमेन GPO के भाग के रूप में तैनात करें। आपको तीन प्रणालियों की आवश्यकता होगी, लेकिन फिर वीएम हो सकते हैं। आपको रूट CA की आवश्यकता होगी, जिसका उपयोग केवल मध्यवर्ती CA के लिए प्रमाण पत्र जारी करने के लिए किया जाना चाहिए। आपके पास एंटरप्राइज सीए के रूप में एक मध्यवर्ती सीए होना चाहिए और फिर "स्टैंड-अलोन" सीए के रूप में तीसरा होना चाहिए ताकि आप गैर-डोमेन परिसंपत्तियों को सीर्ट जारी कर सकें।
यदि आपके पास बहुत सारे ग्राहक हैं और आप काफी बड़े हैं, तो आप किसी तीसरे पक्ष के समाधान में से एक को देख सकते हैं और एक सीए से अपने स्वयं के प्रमाण पत्र जारी कर सकते हैं जो कि इसके प्रमाण पत्र को तीसरे पक्ष से प्राप्त करता है। इस तरह आपको CA के प्रमाणपत्र को तैनात करने की आवश्यकता नहीं है। उदाहरण के लिए, जियोट्रस्ट से एक समाधान है ।
स्टार्टर सीट्स की कम कीमत के लिए, रैपिड्सस्ल की तरह, मैं शायद इनमें से एक खरीदूंगा, कम से कम अगर आपको केवल उनमें से न्यूनतम राशि की आवश्यकता होगी। मुझे लगता है कि उपयोगकर्ताओं द्वारा अविश्वासित स्व हस्ताक्षरित प्रमाण पत्र को स्वीकार करने के लिए कहा जाने वाला यह छोटा शुल्क है, क्योंकि यह हमेशा गैर-तकनीकी उपयोगकर्ताओं के साथ कुछ मुद्दों का कारण बनता है।
आमतौर पर, हां, मैं इस तरह की चीजों के लिए एक स्व-हस्ताक्षरित पीईएम प्रमाणपत्र का उपयोग करता हूं। हालांकि, आपके इंट्रानेट पर साइट कितनी संवेदनशील है? मशीन के बारे में पालन करने के लिए अच्छी प्रथाएं हैं जो वास्तव में सेर्ट्स पर हस्ताक्षर करती हैं .. और अन्य, जो आप पर लागू हो सकती हैं या नहीं।
साथ ही, उपयोगकर्ताओं के लिए आंतरिक CA स्टोर कैसे कॉन्फ़िगर किया जाएगा? एक बार जब आप किसी प्रमाणपत्र को स्वीकार कर लेते हैं, तो आपको पता चल जाएगा कि क्या यह बदल गया है .. जो मुझे मशीन से जुड़ी अच्छी प्रथाओं को वापस लाता है जो वास्तव में उन पर हस्ताक्षर करता है (यानी साइन, फिर इसे अनप्लग करें)।
यदि आप इसे सही तरीके से प्रबंधित करते हैं, तो इसका अपना आंतरिक सीए होना आसान है। कृपया अधिक जानकारी प्रदान करें।
स्व-हस्ताक्षरित प्रमाण पत्र के साथ समस्या यह है कि ग्राहक आम तौर पर इसे असत्यापित होने के बारे में चेतावनी देते हैं। सुरक्षा सेटिंग्स के आधार पर, कुछ इसे पूरी तरह से ब्लॉक कर सकते हैं।
यदि यह विशुद्ध रूप से एक आंतरिक आवश्यकता है, तो http का भी उपयोग क्यों करें?
व्यक्तिगत रूप से मैं या तो http से चिपका रहूंगा या एक सस्ता प्रमाण पत्र खरीदूंगा (वे इतने महंगे नहीं हैं)।