Nous avons un service Web que notre application utilise et les développeurs ont besoin de connexions https au service Web. Puisqu'il s'agit d'un service Web interne, utiliseriez-vous un certificat auto-signé?
Nous avons un service Web que notre application utilise et les développeurs ont besoin de connexions https au service Web. Puisqu'il s'agit d'un service Web interne, utiliseriez-vous un certificat auto-signé?
Réponses:
Plutôt qu'un certificat auto-signé, je créerais une autorité de certification racine locale, puis générerais le certificat SSL à partir de cela, en veillant à ce que tous les systèmes internes aient une copie de la clé publique de l'autorité de certification racine.
Les clés générées de cette manière ont de nombreuses utilisations en dehors du simple HTTPS, elles peuvent également être utilisées pour OpenVPN, POP3S, SMTPS, etc., même pour des comptes SMIME individuels.
Avoir une autorité de certification racine unique pour votre organisation est bien mieux que d'être tenu en rançon par les autorités de certification reconnues qui vous factureront pour chaque serveur pour lequel vous voulez un certificat et oseront vous facturer des "frais de licence" si vous le souhaitez pour mettre le même certificat sur plusieurs serveurs dans un cluster à charge équilibrée.
essayez CAcert . ils sont gratuits, il vous suffit d'installer la racine. une étape au-dessus d'avoir des certificats auto-signés.
Si le coût est un problème et que vous êtes centré sur Windows, comme le suggère M. Denny, optez pour les services de certificats Microsoft et déployez les certificats dans le cadre de l'objet de stratégie de groupe par défaut. Vous aurez probablement besoin de trois systèmes, mais il pourra s'agir de machines virtuelles. Vous aurez besoin de l'autorité de certification racine, qui ne doit être utilisée que pour l'émission des certificats pour les autorités de certification intermédiaires. Vous devez avoir une autorité de certification intermédiaire en tant qu'autorité de certification d'entreprise, puis la troisième en tant qu'autorité de certification "autonome" afin de pouvoir émettre des certificats pour les actifs hors domaine.
Si vous avez beaucoup de clients et que vous êtes assez grand, vous pouvez envisager d'avoir une racine à partir d'une des solutions tierces et de délivrer vos propres certificats à partir d'une autorité de certification qui obtient son certificat dudit tiers. De cette façon, vous n'avez pas à déployer le certificat de l'autorité de certification. Par exemple, il existe une solution de GeoTrust .
Pour le prix bas des certificats de démarrage, comme rapidssl, j'achèterais probablement l'un d'entre eux, du moins si vous n'en avez besoin que d'une quantité minimale. Je pense que cela vaut le petit prix pour empêcher les utilisateurs d'accepter le certificat auto-signé non approuvé, car cela pose toujours des problèmes aux utilisateurs non techniques.
En supposant que vous êtes un domaine Windows pour vos postes de travail, configurez une autorité de certification Windows en interne qui sera automatiquement approuvée par tous les ordinateurs de l'entreprise via AD. De cette façon, vous pouvez émettre des certificats pour les applications internes dont vous avez besoin sans avoir à acheter un certificat.
Habituellement, oui, j'utiliserais un certificat PEM auto-signé pour de telles choses. Cependant, quelle est la sensibilité du site sur votre intranet? Il existe de bonnes pratiques à suivre concernant la machine qui signe réellement les certificats .. et d'autres, qui peuvent ou non s'appliquer à vous.
De plus, comment un magasin CA interne serait-il configuré pour les utilisateurs? Une fois que vous aurez accepté un certificat, vous saurez s'il change ... ce qui me ramène aux bonnes pratiques impliquant la machine qui les signe réellement (c.-à-d. Signez, puis débranchez-le).
C'est pratique d'avoir sa propre autorité de certification interne, si vous la gérez correctement. Veuillez fournir plus d'informations.
Le problème avec un certificat auto-signé est que les clients émettent généralement des avertissements sur le fait qu'il n'est pas vérifié. Selon les paramètres de sécurité, certains peuvent le bloquer complètement.
S'il s'agit d'un besoin purement interne, pourquoi même utiliser https instaed de http?
Personnellement, je préfère rester avec http ou acheter un certificat bon marché (ils ne sont pas si chers).