Makecert 도구로 제작 된 인증서를 생산에서 사용하는 이유는 무엇입니까?
https://stackoverflow.com/questions/527768
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
저는 현재 CA Cert와 그 CA Cert에 두 명의 어린이 CERT를 만든 프로젝트를 진행하고 있습니다. 인증서는 SAMLV2 설정에서 자매 간 통신을 보호하는 데 사용되므로 Identity 제공 업체에 대한 인증서와 서비스 제공 업체의 증명서가 있습니다. 사용자/브라우저는 CERT의 유효성을 검사하지 않으므로 사용자 정의 CA를 신뢰 해야하는 서버 일뿐입니다. 내 인증서 트리는 다음과 같이 보입니다.
- CustomRootCacert
- CustomIndityProviderCert
- customserviceprovidercert
이제 많은 사람들이 생산에 집에서 만든 인증서를 사용하는 것이 좋다고 말하는 것을 들었습니다. 그러나 내가 이유를 물을 때 사람들은 보통 보안에 대해 무언가를 잊어 버리지 만 세부 사항에 들어 가지 않습니다. 제작에 내 자신의 CERT를 사용하지 않는 기술적 이유가 있습니까? 나는 아무것도 생각할 수 없다 ... 물론 루트 CERT 통제력을 잃으면 누구나 모든 종류의 인증서를 만들 수 있다는 것을 알고 있습니다. 그러나이 경우 내 서버에 인증서를 설치하고 SAML 애플리케이션을 구성하여 사용해야합니다. 그래야만 내 응용 프로그램에 대한 가짜 SAML 요청과 응답을 생성하기 시작할 수 있습니다.
이것이 유일한 문제라면,이 솔루션 (생산에 집에서 만든 CERT를 사용하여)은 오늘날 우리가 가지고있는 로그인 설정보다 더 나을 것입니다.
해결책
인증서가 무엇을 증명하는지 스스로에게 물어보십시오.
평판이 좋은 CA에서 발행 한 인증서를 받으면 인증서 보유자가 해당 CA에 대한 신원을 증명 표준으로 확인했음을 증명합니다.
Ad-Hoc CA에서 발행 한 인증서를 받으면 누군가가 인증서를 만드는 방법을 알고 있음을 증명합니다.
대화의 양쪽 끝을 제어하면 목적을 위해 자신의 개인 CA를 갖는 것이 좋습니다. 당신은 자신의 ca를 신뢰할 것입니다. CA 개인 키를 안전한 장소에 오프라인으로 유지하고 스니커넷 운동에 서명함으로써 CA 개인 키를 유지함으로써 이것을 매우 안전하게 만들 수 있습니다.
다른 사람이 당신의 CA를 신뢰하도록 설득해야한다면 어려움이 있습니다. 왜 그렇게해야합니까? 당신은 그들에게 안전하다고 확신해야하며, CA 인증서를 고객에게 추가하는 관리자 간접비를 가질 것입니다.
다른 팁
네트워크 트래픽을 보호하기 위해 인증서를 사용하고 사용자/컴퓨터를 인증하지 않으므로 MakeCert.exe를 사용하는 데 합법적 인 사용이있는 것처럼 들립니다.
언급 할 가치가있는 한 가지가 있다고 생각합니다. makecert.exe 인터페이스로 작업하는 데 시간을 보내면 대신 독립형 루트 인증서 서버 사용을 고려할 수 있습니다.
이 점을 고려하십시오.
- (거의) Windows 서버의 모든 버전에는 무료로 인증서 서버 서비스가 포함됩니다.
- Windows 독립형 CA 서버는 설치 및 구성이 매우 간단합니다.
- Windows 독립형 CA 서버는 가상 시스템에 설치되어 추가 인증서를 발행해야 할 때마다 켜거나 끕니다.
- VM 기반 Windows 독립형 CA 서버는 메모리를 거의 사용하지 않고 실행할 수 있습니다 (예 : 256MB)
- Windows 독립형 CA 서버에는 요청 인증서를 단순화하기위한 멋지고 깨끗한 웹 기반 등록 인터페이스가 포함되어 있습니다.
- CRL 검사는 귀하의 요구에 따라 사용할 수 있습니다.
과거에 나는 처음 Selfssl.exe로 시작하여 결국 Makecert.exe로 이동하여 루트 인증서를 생성 한 다음 내 클라이언트 인증서를 발행했습니다. 그러나 구문에 어려움을 겪고 항상 그 루트 인증서를 어디에 두었는지 기억해야합니다.
인증서가 내부적으로 만 내부, 자신의 서버 (및 클라이언트가 사용하지 않는)간에 전달되는 경우 (한 방향 또는 다른 방법으로는 클라이언트가 사용하지 않음) 자신의 내부 CA를 사용하는 것이 완벽하게 허용됩니다.
그러나 한 가지 제안 - 루트 CA에 제공자가 제공하지 마십시오. 대신 루트 CA를 사용하여 중간 CA를 만듭니다. 그런 다음이를 사용하여 제공자 인증서를 발행하십시오. 이렇게하면 인증서 만료 관리, 시스템/인프라, 취소 목록 등을 확장해야 할 때 장기적으로 도움이됩니다.
개인 용도로 자체 서명 인증서를 사용하는 데 실질적인 문제는 없습니다. 이는 홈브류 루트 인증서를 신뢰 해야하는 모든 시스템을 제어 할 때 사용됩니다.
루트 인증서를 수동으로 신뢰 해야하는 각 시스템에 설치합니다.
예를 들어 루트 CA를 소프트웨어 방해 방법을 통해 롤아웃 할 수있는 조직 내에서 브라우저 사용을 위해 제작에서도이를 수행 할 수 있습니다. Microsoft가 신뢰하는 인증서 권한을 지불하는 데 드는 이유는 없습니다.
편집] 비밀 측면 에서이 문제는 루트 인증서의 개인 키를 포함하는 것 중 하나입니다. 비공개 상태를 유지할 수있는 한 해당 루트에서 해당 인증서를 검증 할 수 있습니다.
