Nous devons utiliser SSL sur notre réseau interne pour quelques applications sensibles, et j'ai besoin de savoir s'il y a une différence entre un certificat auto-signé et un signé par une autorité de certification Windows Server que nous configurons? Avons-nous besoin de configurer une autorité de certification?
Réponses:
À court terme pour un service unique, il n'y a pas beaucoup de différence.
Si vous décidez de configurer davantage de services utilisant SSL, vous constaterez peut-être que la configuration d'une autorité de certification aurait été un meilleur choix.
Si vous configurez une autorité de certification, vous devriez pouvoir amener vos clients à faire confiance à l'autorité de certification et donc aux certificats qu'elle signe. Une fois qu'ils sont CA, l'ajout de services supplémentaires est facile. Avec de nombreux certificats auto-signés, un utilisateur devra accepter chaque certificat séparément.
Voulez-vous dire que vous avez une autorité de certification Windows? Si vous en avez déjà un, je l'utiliserais. Si vous n'en avez pas déjà un, je serais tenté d'utiliser un système léger comme TinyCA que vous pourriez exécuter sur une VM ou sur un Linux sur un disque USB.
Un certificat peut contenir des informations sur les utilisations pour lesquelles il est autorisé, par exemple s'il peut être utilisé pour signer d'autres certificats de clé publique ou s'il s'agit d'un certificat d'autorité de certification. Certaines implémentations peuvent vérifier ce type d'informations et refuser d'honorer un certificat à certaines fins sans les bonnes informations
Voici quelques exemples de ces informations supplémentaires:
Si vous créez votre propre certificat auto-signé et que vous souhaitez l'utiliser en tant que certificat CA et que vous souhaitez augmenter vos chances de le faire accepter par le logiciel avec lequel vous l'utiliserez, vous devez probablement vous assurer il contient des valeurs correctement configurées pour ces deux extensions que j'ai mentionnées ci-dessus.
Si vous omettez ces deux extensions, de nombreuses implémentations peuvent toujours l'honorer en tant que certificat CA, mais certaines implémentations ne le peuvent pas.
Si vous souhaitez signer vos propres certificats, vous aurez besoin d'une autorité de certification (que ce soit la vôtre ou une officielle). Mais, vous n'avez pas besoin de pousser votre autorité de certification auprès des utilisateurs, sauf si vous prévoyez de signer plusieurs certificats et que vous souhaitez que vos utilisateurs n'en acceptent qu'un (par exemple, s'ils installent votre autorité de certification, tous les certificats que vous émettez seront alors acceptés). Il serait peut-être préférable de pousser l'AC à long terme.
N'est-ce pas la même chose? Un certificat délivré par votre propre autorité de certification interne est "auto-signé", ce qui signifie qu'il n'a pas été émis par une autorité de certification externe, non?