Сертификат разработчика по сравнению с купленным сертификатом для WCF
Я understsand, что, если я хочу использовать аутентификацию в WCF затем, я должен установить сертификат на своем сервере, который WCF будет использовать для шифрования передачи данных между моим сервером и клиентом.
В целях разработки я полагаю, что могу использовать makecert.exe util. для создания сертификата разработки.
Что хуже, который может произойти, если я использую этот сертификат на продуктивной среде?
и...
Почему наклон я использую этот сертификат на продуктивной среде?
и...
Что сертификат на самом деле собирается сделать в этом сценарии?
[Редактирование: Добавленный другой вопрос]
наконец...
В сценарии, где веб-сайт сертификат установил для оказания поддержки HTTPS, тот же сертификат может использоваться для сервисов WCF также?
Примечание по моему приложению: это - сервис клиента и сервера NetTCP. Пользователи войдут в систему с помощью того же имени пользователя и пароля, который они используют для веб-сайта, который передается в открытом тексте. Я был бы рад передать u/n + p/w в открытом тексте к WCF, но это не позволяется платформой, и сертификат должен существовать. Однако я не хочу покупать сертификат из-за ограничений бюджета!
(Извините за возможно глупый вопрос, но я действительно не понимаю, что это так приветствовало бы некоторую справку этим).
3 ответа
Что ж, ничего серьезного не произойдет, если вы используете сертификат разработчика в производственной среде, в конце концов, сертификат - это сертификат, и обеспечиваемое им шифрование такое же как любой коммерческий сертификат.
Однако, поскольку сертификат не подписан доверенным центром сертификации, он не гарантирует клиенту, что вы - это вы .Позвольте мне сформулировать это иначе: если бы ваш сервис был простой веб-страницей, браузер сказал бы, что сертификат недействителен.
Сертификат для обеспечения SSL на веб-сервере - это сертификат, который сообщает клиенту, что домен является доверенным и проверенным доменом, и что центр сертификации может за него поручиться.
Таким образом, сертификат, созданный makecert.exe , будет подобен тому, как если бы вы написали свое имя на листе бумаги и сказали, скажем, сотруднику закона, что это ваши водительские права.
Чтобы доверять, сертификат должен быть выдан так называемым центром сертификации. Самозаверяющие сертификаты (созданные makecert и т. Д.) Не являются доверенными, и каждый, кто перейдет на ваш веб-сайт, получит предупреждение «Недействительный сертификат» (точнее: «Сертификат не является доверенным, потому что он самозаверяющий»). Итак, худший вариант , люди не будут заходить на ваш сайт, потому что они ему не доверяют.
Вы можете использовать свой самоподписанный сертификат в производственной среде, но это не рекомендуется по причинам, указанным выше.
Сертификат используется для установления безопасного соединения (HTTPS) между клиентом и сервером. Кроме того, он предназначен для проверки личности сервера. Идентичность вашего сервера не может быть гарантирована, если ваш сертификат самоподписанный.
В IIS, если вы устанавливаете сертификат на веб-сайт, все службы WCF, развернутые на этом веб-сайте, могут использовать этот сертификат.
Короче говоря, используйте самозаверяющий сертификат для разработки (изучите инструмент под названием SSL Diagnostics для простого создания сертификата в IIS), но действительно используйте производственный сертификат для производства!
«Что самое худшее, что может случиться, если я использую этот сертификат в производственной среде?» Безопасность выйдет из строя, что приведет к сбою всей вашей службы.
«Почему я не могу использовать этот сертификат в производственной среде?»
Центр сертификации, указанный в созданном вами сертификате, не известен клиентам, поэтому сертификат нельзя проверить / использовать.
«Что на самом деле будет делать сертификат в этом сценарии?» Открытый ключ используется клиентами для шифрования связи. Это гарантирует, что только владелец закрытого ключа (в данном случае сервер) сможет снова его расшифровать (пары закрытого и открытого ключей представляют собой асимметричное шифрование)
Надеюсь, это поможет,