Existe uma diferença entre um certificado autoassinado e um certificado por sua própria CA?

11

Precisamos usar SSL em nossa rede interna para alguns aplicativos confidenciais e preciso saber se há uma diferença entre um certificado autoassinado e um assinado por uma CA do Windows Server que configuramos? Precisamos configurar uma autoridade de certificação?

Max Schmeling
fonte

Respostas:

10

No curto prazo, para um único serviço, não há muita diferença.

Se você decidir configurar mais serviços que usam SSL, poderá achar que configurar uma CA seria uma escolha melhor.

Se você configurar uma autoridade de certificação, poderá conseguir que seus clientes confiem na autoridade de certificação e, portanto, em qualquer documento que assinar. Depois que a CA instala, é fácil adicionar serviços adicionais. Com muitos certificados autoassinados, o usuário precisará aceitar cada certificado separadamente.

Você está dizendo que possui uma CA do Windows? Se você já tem um, eu o usaria. Se você ainda não possui um, ficaria tentado a usar um sistema leve como o TinyCA, que você poderia executar em uma VM ou em um Linux em um disco USB.

Zoredache
fonte
Impressionante! Essa é exatamente a informação que eu estava procurando.
precisa
2

Um certificado pode conter informações sobre para quais usos ele está autorizado, como se pode ser usado para assinar outros certificados de chave pública ou se é um certificado de CA. Algumas implementações podem verificar esse tipo de informação e se recusar a honrar um certificado para determinados fins sem as informações corretas.

Exemplos dessas informações extras incluem:

  • A extensão "Key Usage" (OID 2.5.29.15), que pode especificar se esse certificado pode ou não ser usado para assinatura de certificado de chave.
  • A extensão "Restrições básicas" (OID 2.5.29.19), que especifica se este é ou não um certificado de CA.

Se você está criando seu próprio certificado autoassinado e deseja usá-lo como um certificado da CA, e deseja aumentar suas chances de aceitá-lo por qualquer software com o qual esteja usando, provavelmente deve ter certeza de que ele contém valores configurados corretamente para essas duas extensões que eu mencionei acima.

Se você omitir essas duas extensões, muitas implementações ainda poderão honrá-lo como um certificado de CA, mas algumas implementações talvez não.

Spiff
fonte
0

Se você deseja assinar seus próprios certificados, precisará de uma autoridade de certificação (seja sua ou oficial). Mas você não precisa enviar sua CA aos usuários, a menos que planeje assinar vários certificados e deseje que seus usuários tenham apenas que aceitar um (por exemplo, se eles instalarem sua CA, todos os certificados emitidos serão aceitos). Talvez seja melhor enviar a CA a longo prazo.

Jay
fonte
-1

Eles não são a mesma coisa? Um certificado emitido por sua própria CA interna é "autoassinado", o que significa que não foi emitido por uma CA externa, certo?

joeqwerty
fonte
Não. A propriedade "autoassinado" não tem nada a ver com CAs externas versus CAs internas. De fato, os certificados raiz de todas as CAs externas são autoassinados. Basta ir a qualquer site SSL, como o Google Mail, e examinar todos os certificados na cadeia de certificados.
Presidente James Moveon Polk