لماذا يستخدم شهادة ، MakeCert أداة في إنتاج سيئة ؟

Question

أنا أعمل حاليا على مشروع حيث لقد خلق CA-cert واثنين من الأطفال موتس التي CA cert.الشهادات ستستخدم لحماية بين ملقم الاتصالات في SAMLV2 الإعداد لذلك أنا ذاهب إلى cert عن هوية مزود خدمات سيرت على مزود الخدمة.المستخدم/المتصفح لن التحقق من موتس حتى انها فقط الملقمات التي تحتاج إلى الثقة عادتي كاليفورنيا.بلدي cert شجرة تبدو شيئا مثل هذا:

• CustomRootCACert
  • CustomIdentityProviderCert
  • CustomServiceProviderCert

الآن, لقد سمعت الكثير من الناس يقولون إنه سوء استخدام الصنع شهادة في الإنتاج.ولكن عندما تسأل لماذا الناس عادة فقط يتمتم شيئا عن الأمن ولكن لم ندخل في التفاصيل.هل هناك أي أسباب فنية عدم استخدام بلدي موتس في الإنتاج ؟ لا أستطيع التفكير في أي...طبعا أنا أدرك أنه إذا كنت تفقد السيطرة على الجذر سيرت أي شخص يمكن أن تبدأ في إنشاء جميع أنواع الشهادات.ولكن في هذه الحالة سيكون لديهم أيضا على تثبيت الشهادات على ملقمات تكوين saml التطبيق لاستخدامها.عندها فقط يمكن أن تبدأ في توليد وهمية saml الطلبات والردود على الطلبات.

إذا كانت هذه هي المشكلة فقط ، هذا الحل (باستخدام الصنع موتس في الإنتاج) أن يكون لا يزال أفضل من الدخول الإعداد لدينا اليوم.

Answer 1

اسأل نفسك ما هي شهادة تثبت.

إذا كنت تحصل على شهادة صادرة عن السمعة CA, فإنه يدل على أن حامل هذه الشهادة يتمتع التحقق من هويتهم إلى أن كاليفورنيا ، إلى معايير الإثبات.

إذا كنت تحصل على شهادة صادرة عن مخصص CA, ثم يثبت أن أحدا يعرف كيف يجعل الشهادات.

إذا كنت السيطرة على طرفي المحادثة ، أعتقد أنه من الجيد أن يكون لديك الخاصة بك CA لهذا الغرض.يمكنك أن تثق بنفسك كاليفورنيا.ربما كنت يمكن أن تجعل هذا آمن جدا في الواقع (عن طريق الحفاظ CA مفتاح خاص في مكان آمن حاليا, و صنع توقيع sneakernet ممارسة الرياضة).

الصعوبة تكون إذا كنت في حاجة لإقناع أي شخص آخر تثق بك كاليفورنيا.لماذا يفعلون ذلك ؟ كنت بحاجة إلى إقناعهم أنه كان آمنا للقيام بذلك ، سيكون لديهم الادارة العامة من إضافة شهادة CA لعملائها.

Answer 2

منذ كنت تستخدم فقط الشهادة لحماية حركة مرور الشبكة غير مصادقة المستخدمين/أجهزة الكمبيوتر ثم يبدو عليك استخدام مشروعة باستخدام MakeCert.exe.

وأنا أشعر أن هناك شيء واحد يستحق الذكر.بعد قضاء بعض الوقت في العمل مع MakeCert.exe واجهة قد تنظر في استخدام قائمة بذاتها شهادة جذر الملقم بدلا من ذلك.

النظر في هذه النقاط:

• (تقريبا) جميع إصدارات نظام التشغيل Windows Server تشمل شهادة ملقم الخدمات مجانا
• ويندوز بذاتها CA خادم بسيطة للغاية لتثبيت وتكوين
• ويندوز بذاتها CA الخادم يمكن أن تكون مثبتة على جهاز ظاهري و تحول على/قبالة كلما كنت في حاجة إلى إصدار شهادة إضافية
• VM ويندوز القائم بذاته CA Server يمكن تشغيلها باستخدام القليل جدا من الذاكرة (ex.256mb)
• ويندوز بذاتها CA خادم يتضمن جميلة ونظيفة على شبكة الإنترنت واجهة التسجيل لتبسيط طلب الشهادات.
• CRL التحقق يمكن أن تستخدم أو لا تستخدم ، اعتمادا على الاحتياجات الخاصة بك.

في الماضي بدأت لأول مرة مع selfssl.exe و انتقل في نهاية المطاف MakeCert.exe لإنشاء شهادة الجذر ثم أصدر بلدي شهادات العميل.ولكن بعد صراع مع بناء الجملة دائما الحاجة إلى تذكر أين وضعت من أن الشهادة الجذر أنا انتقلت إلى استخدام قائمة بذاتها المرجع المصدق الجذر في الجهاز الظاهري.

Answer 3

إذا كانت الشهادات مرت حولها داخليا بين الملقمات الخاصة بك (وليس استخدامها من قبل العميل, طريقة واحدة أو أخرى) - فمن المقبول تماما أن استخدام الداخلية الخاصة بك كاليفورنيا.
بيد أن اقتراح واحد - لا الجذر CA المسألة موفر موتس.بدلا من, استخدام الخاص بك CA الجذر إلى إنشاء وسيطة CA - ثم استخدام ذلك إصدار مزود الشهادات.هذا سيساعدك على المدى الطويل ، عندما يكون لديك لبدء إدارة انتهاء صلاحية الشهادة ، وتوسيع النظام/البنية التحتية ، وإلغاء قوائم ، إلخ.

Answer 4

لا يوجد مشكلة في استخدام شهادة الذاتي وقعت في استخدام الخاص ، التي يتم استخدامها عند السيطرة على جميع الأنظمة التي تحتاج إلى الثقة البيرة الجذر شهادة.

يمكنك يدويا تثبيت الجذر الخاص بك سيرت على كل الأنظمة التي تحتاج أن تثق به.

يمكنك القيام بذلك في الإنتاج فضلا عن استخدام المستعرض - على سبيل المثال داخل المنظمة حيث ca الجذر يمكن خرجت عن طريق برنامج توزيع الطريقة - لا يوجد سبب للذهاب إلى حساب دفع السلطة شهادة أن مايكروسوفت يحدث الثقة.

[عدل] حيث secruity هذه المسألة هي واحدة من التي تحتوي على المفتاح الخاص بك شهادة الجذر ، طالما يمكنك التأكد من أن يبقى القطاع الخاص ثم يمكنك التحقق من صحة أي شهادة أن الجذر.