Почему использование является сертификатом, сделанным с инструментом MakeCert, в производстве плохо?

Я в настоящее время работаю над проектом, где я создал сертификат CA и несколько дочерних сертификатов к тому сертификату CA. Сертификаты будут используемыми для защиты коммуникации межсервера в установке SAMLV2, таким образом, я собираюсь иметь сертификат для поставщика идентификационных данных и сертификат для поставщика услуг. Пользователь/браузер не собирается проверять сертификаты, таким образом, это - только серверы, которые должны доверять моему пользовательскому Приблизительно. Мое дерево сертификата выглядит примерно так:

  • CustomRootCACert
    • CustomIdentityProviderCert
    • CustomServiceProviderCert

Теперь, я услышал много людей, говорящих, что это плохо для использования самодельного сертификата в производстве. Но когда я спрашиваю, почему, люди обычно просто бормочут что-то о безопасности, но никогда не вдавайтесь в подробности. Разве там какие-либо технические причины не состоят в том, чтобы использовать мои собственные сертификаты в производстве? Я не могу думать ни о ком... Конечно, я понимаю, что, если я теряю контроль над своим корневым сертификатом, любой мог бы начать создавать все виды сертификатов. Но в этом случае они должны были бы также установить сертификаты на моих серверах и настроить saml приложение для использования их. Только затем могли они начинать генерировать фальшивку saml запросы и ответы на мои приложения.

Если бы это - единственная проблема, это решение (использующий самодельные сертификаты в производстве) все еще было бы лучше, чем установка входа в систему, которую мы имеем сегодня.

11
задан Dscoduc 19 February 2009 в 08:20
поделиться

4 ответа

Спросите себя, что доказывает сертификат.

Если Вы выпустили сертификат уважаемым CA, то оказывается, что владелец сертификата проверил их идентификационные данные ко что CA к их стандартам доказательства.

Если Вы выпустили сертификат специальным CA, то оказывается, что кто-то знает, как сделать сертификаты.

Если Вы управляете обоими концами разговора, я думаю, что хорошо иметь Ваш собственный частный CA для цели. Вы доверяли бы своему собственному Приблизительно. Можно, вероятно, сделать это очень безопасным действительно (путем хранения закрытого ключа CA в безопасном месте офлайн и создания подписания осуществления sneakernet).

Трудность состояла бы в том, если бы необходимо было убедить кого-либо еще доверять Вашему Приблизительно. Почему должен они? Необходимо было бы убедить их, что было безопасно сделать так, и у них будет администратор наверху добавления сертификата CA их клиентам.

20
ответ дан 3 December 2019 в 02:02
поделиться

Нет никакой реальной проблемы с использованием сам подписанный сертификат в личном пользовании, которое является использованием, когда Вы управляете всеми системами, которые должны доверять доморощенному корневому сертификату.

Вы вручную устанавливаете свой корневой сертификат на каждую из систем, которые должны доверять ему.

Можно сделать это в производстве также для использования браузера - например, в организации, где корень приблизительно может быть реализован с помощью программного обеспечения distrubution метод - нет никакой причины перейти к расходу оплаты Центра сертификации, которому Microsoft, оказывается, доверяет.

[редактирование] С точки зрения безопасности, проблемой является одно из содержания закрытого ключа для Вашего корневого сертификата, пока можно удостовериться, что остается частным затем, можно проверить любой сертификат от того корня.

3
ответ дан 3 December 2019 в 02:02
поделиться

Так как Вы только используете сертификат для защиты сетевого трафика, и не аутентифицировать пользователей/компьютеры затем он кажется, что у Вас есть законное использование для использования MakeCert.exe.

Я чувствую, что существует одна вещь, которую стоит упомянуть. После пребывания в течение некоторого времени, работая с интерфейсом MakeCert.exe, Вы могли бы для рассматривания использование Автономного Корневого Сервера Сертификата вместо этого.

Рассмотрите эти вопросы:

  • (Почти) Все версии Windows Server включают Серверные службы Сертификата бесплатно
  • Windows Stand-Alone CA Server чрезвычайно прост установить и настроить
  • Windows Stand-Alone CA Server может быть установлен на Виртуальной машине и превращен включения - выключения каждый раз, когда необходимо выпустить дополнительный сертификат
  • VM базировался, Windows Stand-Alone CA Server может быть запущен с помощью очень небольшой памяти (напр. 256 МБ)
  • Windows Stand-Alone CA Server включает хороший и чистый веб-интерфейс приема для упрощения запроса сертификатов.
  • Проверка CRL может использоваться или не использоваться, в зависимости от Ваших потребностей.

В прошлом я сначала запустил с selfssl.exe и в конечном счете переместился в MakeCert.exe для генерации корневого сертификата и затем выпустил свои клиентские сертификаты. Но после борьбы с синтаксисом и всегда необходимости помнить, куда я поместил тот Корневой Сертификат, я переключил на использование Автономного Корня CA в виртуальной машине.

7
ответ дан 3 December 2019 в 02:02
поделиться

ЕСЛИ сертификаты только раздаются внутренне, между Вашими собственными серверами (и не используются клиентом, так или иначе) - затем совершенно приемлемо использовать Ваше собственное внутреннее Приблизительно.
ОДНАКО одно предложение - не имеет Вашего Корня проблемой CA Ваши сертификаты поставщика. Вместо этого используйте свой Корень CA для создания Промежуточного звена, CA - затем использует это для издания сертификатов поставщика. Это поможет Вам долгосрочная перспектива, когда необходимо будет запустить руководящее истечение сертификата, расширяя систему/инфраструктуру, списки аннулирования, и т.д.

5
ответ дан 3 December 2019 в 02:02
поделиться
Другие вопросы по тегам:

Похожие вопросы: