인트라넷 서버의 경우 SSL 인증서를 구입하거나 자체 서명 된 인증서를 사용 하시겠습니까?

우리는 응용 프로그램에서 사용하는 웹 서비스를 가지고 있으며 개발자는 웹 서비스에 대한 https 연결이 필요합니다. 이것은 내부 웹 서비스이므로 자체 서명 된 인증서를 사용 하시겠습니까?

자체 서명 된 인증서 대신 로컬 루트 CA를 만든 다음 SSL 인증서를 생성하여 모든 내부 시스템에 루트 CA'sl 공개 키의 사본이 있는지 확인하십시오.

이러한 방식으로 생성 된 키는 일반 HTTPS 외부에서 많이 사용되며 개별 SMIME 계정에서도 OpenVPN, POP3S, SMTPS 등에 사용될 수 있습니다.

인증을 원하는 각 서버에 대해 요금을 청구하고 원하는 경우 "라이센스 요금"을 청구하는 공인 된 CA가 조직에 대해 단일 루트 CA를 보유하는 것이 훨씬 좋습니다. 부하 분산 클러스터의 여러 서버에 동일한 인증서를 배치합니다.

CAcert 시도하십시오 . 그들은 무료입니다, 당신은 단지 루트를 설치해야합니다. 자체 서명 된 인증서를 갖는 위의 한 단계.

데니가 제안한 것처럼 비용이 문제이고 Windows 중심이라면, Microsoft 인증서 서비스를 사용하여 기본 도메인 GPO의 일부로 인증서를 배포하십시오. 세 개의 시스템이 필요할 수 있지만 VM이 될 수 있습니다. 중간 CA에 대한 인증서를 발급 할 때만 사용해야하는 루트 CA가 필요합니다. 도메인이 아닌 자산에 대해 인증서를 발급 할 수 있도록 중간 CA 하나는 엔터프라이즈 CA로, 세 번째는 "독립형"CA로 만들어야합니다.

클라이언트가 많고 충분히 큰 경우 타사 솔루션 중 하나에서 루트를 갖고 해당 타사에서 인증서를 가져 오는 CA에서 자체 인증서를 발급받을 수 있습니다. 이렇게하면 CA 인증서를 배포 할 필요가 없습니다. 예를 들어 GeoTrust 의 솔루션이 있습니다 .

rapidssl과 같은 저렴한 스타터 인증서의 경우 최소한 최소한의 수량 만 필요한 경우 이들 중 하나를 구매할 것입니다. 기술이 아닌 사용자에게는 항상 일부 문제가 발생하기 때문에 신뢰할 수없는 자체 서명 된 인증서를 수락하라는 요청을 사용자에게 중지시키는 데 약간의 비용이 든다고 생각합니다.

데스크톱의 Windows 도메인이라고 가정하면 AD를 통해 회사의 모든 컴퓨터가 자동으로 신뢰하는 Windows CA를 사내에서 설정하십시오. 이 방법으로 인증서를 구매하지 않고도 필요한 내부 앱에 인증서를 발급 할 수 있습니다.

일반적으로 그렇습니다. 그런 경우 자체 서명 된 PEM 인증서를 사용합니다. 그러나 인트라넷의 사이트는 얼마나 민감합니까? 실제로 인증서에 서명하는 기계 및 사용자에게 적용되거나 적용되지 않을 수있는 다른 기계와 관련하여 따라야 할 모범 사례가 있습니다.

또한 사용자를 위해 내부 CA 저장소를 어떻게 구성합니까? 인증서를 수락하면 ..가 변경되는지 알 수 있습니다. 그러면 실제로 서명하는 기계와 관련된 모범 사례로 돌아갑니다 (예 : 서명 한 후 플러그를 뽑습니다).

올바르게 관리하면 내부 CA를 보유하는 것이 편리합니다. 자세한 정보를 제공하십시오.

자체 서명 인증서의 문제점은 클라이언트가 일반적으로 확인되지 않은 것에 대한 경고를 표시한다는 것입니다. 보안 설정에 따라 일부는 완전히 차단 될 수 있습니다.

이것이 순전히 내부 요구라면, 왜 https instaed http를 사용합니까?

개인적으로 나는 http를 고수하거나 저렴한 인증서를 사야합니다 (비싸지 않습니다).