为什么使用一个证书，与MakeCert工具，在生产坏？

Question

我目前正在一个项目，我们创建了一个CA cert和一对夫妇的儿童的证书为该CA cert。该证书将用于保护服务器间通信在SAMLV2设置所以我要有证书的身份提供者和认证服务提供者。的用户/用户浏览器是不会验证证书，因此它是唯一的服务器，需要以信任我定制的加利福尼亚州。我cert树看起来是这样的：

• CustomRootCACert
  • CustomIdentityProviderCert
  • CustomServiceProviderCert

现在，我已经听过很多人说它不好使用一个自制的证书生产。但当我问为什么，人们通常就喃喃自语什么关于安全的，但从来没有进入的详细信息。是否有任何技术的原因不用我自己的证书在生产？我想不出任何...当然我认识到，如果我失去控制我根证书的任何人都可以开始创造各种证书。但在这种情况下，他们也将需要安装证书上我的服务器和配置临时的应用程序使用他们。然后才能开始产生假的ca请求和响应我的应用。

如果这是唯一的问题，这种解决方案(使用家庭成的证书生产)将仍然是更好的比登陆的设置，我们有今天。

Answer 1

问问你自己什么证书证明。

如果你得到一个证书颁发一个有信誉的CA,然后，它证明该证书的持有人核实他们的身份，CA，他们的标准的证明。

如果你得到一个证书颁发一个特设CA,然后它证明了有人知道如何让证书。

如果你控制的两端的谈话，我认为这是现有自己的私人CA为目的。你会相信你自己的加利福尼亚州。你也许可以使这个非常安全的事实上(通过保持矶的私人钥匙在一个安全的地方离线，并使签署一sneakernet锻炼)。

困难的是，如果你需要说服别人信任你的加利福尼亚州。他们为什么要？你会需要说服他们，这是安全的这样做，他们将必须管理开销的增加CA证书，他们的客户。

Answer 2

因为你是唯一使用的证书，以保护网络的业务和不进行身份验证用户的计算机/计算机那么它的声音就像你有一个合法的使用对于使用MakeCert.exe.

我觉得有一件事值得一提。之后你花一些时间工作MakeCert.exe 接口可能考虑使用一个独立的根证书服务器。

考虑到这些要点：

• (几乎)将所有版本的Windows服务器包括证书服务器的服务是免费的
• Windows独立CA服务是非常简单的安装和配置
• Windows独立CA服务器可以是虚拟机安装和启/关闭的，只要你需要问题的其他证书
• VM基于Windows独立CA服务可以运行所使用的非常小的存储器(ex。256mb)
• Windows独立CA服务包括干净基于网络的入口，以简化申请证书。
• CRL检查可以使用或不使用，这取决于你的需求。

在过去的我先开始selfssl.exe 并最终搬到MakeCert.exe 产生一个根证书和随后发出了我的客户的证书。但后挣扎的语法和总是有记得在那里我把这根证书我切换到使用一个独立的根CA在一个虚拟的机。

Answer 3

如果该证书只能通过内部之间，你自己的服务器(而不是用客户的一种方式或其他)-那这是完全可以接受使用自己的内部加利福尼亚州。
然而，一个建议-没有根CA的问题提供商的证书.相反，使用根CA创建一个中间CA-然后使用那个问题提供证书。这将帮助你长期当你已经开始管理证书到期，延长的系统/基础设施、撤销表，等等。

Answer 4

没有真正的问题与使用自签发的证书在私人使用，是使用当你控制的所有系统需要的信任的自制的根证书。

你手动装你根cert到每个系统，需要相信它。

你可以做这种生产，以及浏览器的使用，例如组织内根ca可以通过软件distrubution方法-没有理由去的费用支付一个认证机构，微软发生的信任。

[编辑] 在安全问题是一个含有私人钥匙为根证书，只要可以确保保持私人然后你可以验证的任何证书关于根。