Certificado de desarrollador vs Certificado comprado para WCF

Question

Entiendo que si quiero usar la autenticación en WCF, entonces necesito instalar un certificado en mi servidor que WCF usará para cifrar datos que pasen entre mi servidor y el cliente.

Para fines de desarrollo, creo que puedo usar el makecert.exe Util. Para hacer un certificado de desarrollo.

Cuál es el el peor ¿Eso puede suceder si uso este certificado en el entorno de producción?

y...

¿Por qué no puedo usar este certificado en el entorno de producción?

y ...

¿Qué va a hacer el certificado en este escenario?

Editar: agregó otra pregunta

finalmente...

En un escenario en el que el sitio web tiene un certificado instalado para proporcionar soporte HTTPS, ¿se puede utilizar el mismo certificado para los servicios WCF también?

Nota sobre mi aplicación: es un servicio de cliente y servidor NETTCP. Los usuarios iniciarán sesión utilizando el mismo nombre de usuario y contraseña que usan para el sitio web que se pasa en texto claro. Me encantaría pasar el U/N + P/W en ClearText a WCF, pero esto no está permitido por el marco y un certificado debe estar en su lugar. Sin embargo, ¡no quiero comprar un certificado debido a limitaciones presupuestarias!

(Perdón por la pregunta posiblemente estúpida, pero realmente no entiendo esto, así que agradecería algo de ayuda con esto).

Answer 1

Bueno, no sucederá nada importante si utiliza un certificado de desarrollador en el entorno de producción, después de todo, un certificado es un certificado y el cifrado que proporciona es el mismo que cualquier certificado comercial.

Sin embargo, como el certificado no está firmado por una autoridad de certificado de confianza, no garantiza al cliente que tu eres tu. Permítanme poner esto de otra manera: si su servicio fuera una página web simple, el navegador diría que el certificado no es válido.

Un certificado para proporcionar SSL en un servidor web es un certificado que le dice al cliente que el dominio es un dominio confiable y verificado, y que la autoridad de certificado puede garantizarlo.

Entonces, un certificado hecho por makecert.exe Sería como si escribiera su nombre en un pedazo de papel y le diga, digamos un oficial de la ley, que esta es su licencia de conducir.

Answer 2

1. Un certificado debe ser emitido por una llamada autoridad de certificado para que se confíe. No se confían en los certificados autodenominados (creados por Makecert, etc.), y todos los que navegarán con su sitio web recibirán un 'certificado inválido' (más específico: 'El certificado no es confiable porque está firmado') Advertencia. Asi que, peor de los casos, la gente no irá a su sitio, porque no confían en él.

2. Puede utilizar su certificado autoinfirmado en producción, pero no es aconsejable por las razones explicadas anteriormente.

3. El certificado se utiliza para establecer una conexión segura (HTTPS) entre el cliente y el servidor. Junto a eso, está destinado a verificar la identidad del servidor. La identidad de su servidor no se puede garantizar si su certificado está firmado.

4. En IIS, si instala un certificado en un sitio web, todos los servicios de WCF implementados en ese sitio web pueden usar el certificado.

En resumen, use un certificado autofirmado para el desarrollo (busque una herramienta llamada Diagnóstico SSL Para una fácil generación de certificados en IIS), ¡pero realmente use un certificado de producción para la producción!

Answer 3

"¿Qué es lo peor que puede suceder si utilizo este certificado en el entorno de producción", la seguridad fallará, fallará todo su servicio?

"¿Por qué no puedo usar este certificado en el entorno de producción?"
Los clientes no conocen la autoridad de certificado especificada en su certificado generado, por lo tanto, el certificado no puede validarse/usarse.

"¿Qué va a hacer el certificado en este escenario?" La clave pública es utilizada por los clientes para cifrar la comunicación. Esto garantizará que solo el propietario de la clave privada (el servidor en este caso) puede descifrarlo nuevamente (los claves privados-públicos son cifrados asimétricos)

Espero que esto ayude,