Почему использование является сертификатом, сделанным с инструментом MakeCert, в производстве плохо?

Нет никакой реальной проблемы с использованием сам подписанный сертификат в личном пользовании, которое является использованием, когда Вы управляете всеми системами, которые должны доверять доморощенному корневому сертификату.

Вы вручную устанавливаете свой корневой сертификат на каждую из систем, которые должны доверять ему.

Можно сделать это в производстве также для использования браузера - например, в организации, где корень приблизительно может быть реализован с помощью программного обеспечения distrubution метод - нет никакой причины перейти к расходу оплаты Центра сертификации, которому Microsoft, оказывается, доверяет.

[редактирование] С точки зрения безопасности, проблемой является одно из содержания закрытого ключа для Вашего корневого сертификата, пока можно удостовериться, что остается частным затем, можно проверить любой сертификат от того корня.

Так как Вы только используете сертификат для защиты сетевого трафика, и не аутентифицировать пользователей/компьютеры затем он кажется, что у Вас есть законное использование для использования MakeCert.exe.

Я чувствую, что существует одна вещь, которую стоит упомянуть. После пребывания в течение некоторого времени, работая с интерфейсом MakeCert.exe, Вы могли бы для рассматривания использование Автономного Корневого Сервера Сертификата вместо этого.

Рассмотрите эти вопросы:

• (Почти) Все версии Windows Server включают Серверные службы Сертификата бесплатно
• Windows Stand-Alone CA Server чрезвычайно прост установить и настроить
• Windows Stand-Alone CA Server может быть установлен на Виртуальной машине и превращен включения - выключения каждый раз, когда необходимо выпустить дополнительный сертификат
• VM базировался, Windows Stand-Alone CA Server может быть запущен с помощью очень небольшой памяти (напр. 256 МБ)
• Windows Stand-Alone CA Server включает хороший и чистый веб-интерфейс приема для упрощения запроса сертификатов.
• Проверка CRL может использоваться или не использоваться, в зависимости от Ваших потребностей.

В прошлом я сначала запустил с selfssl.exe и в конечном счете переместился в MakeCert.exe для генерации корневого сертификата и затем выпустил свои клиентские сертификаты. Но после борьбы с синтаксисом и всегда необходимости помнить, куда я поместил тот Корневой Сертификат, я переключил на использование Автономного Корня CA в виртуальной машине.

ЕСЛИ сертификаты только раздаются внутренне, между Вашими собственными серверами (и не используются клиентом, так или иначе) - затем совершенно приемлемо использовать Ваше собственное внутреннее Приблизительно.
ОДНАКО одно предложение - не имеет Вашего Корня проблемой CA Ваши сертификаты поставщика. Вместо этого используйте свой Корень CA для создания Промежуточного звена, CA - затем использует это для издания сертификатов поставщика. Это поможет Вам долгосрочная перспектива, когда необходимо будет запустить руководящее истечение сертификата, расширяя систему/инфраструктуру, списки аннулирования, и т.д.