Existe-t-il une différence entre un certificat auto-signé et un certificat signé par votre propre autorité de certification?

11

Nous devons utiliser SSL sur notre réseau interne pour quelques applications sensibles, et j'ai besoin de savoir s'il y a une différence entre un certificat auto-signé et un signé par une autorité de certification Windows Server que nous configurons? Avons-nous besoin de configurer une autorité de certification?

Max Schmeling
la source

Réponses:

10

À court terme pour un service unique, il n'y a pas beaucoup de différence.

Si vous décidez de configurer davantage de services utilisant SSL, vous constaterez peut-être que la configuration d'une autorité de certification aurait été un meilleur choix.

Si vous configurez une autorité de certification, vous devriez pouvoir amener vos clients à faire confiance à l'autorité de certification et donc aux certificats qu'elle signe. Une fois qu'ils sont CA, l'ajout de services supplémentaires est facile. Avec de nombreux certificats auto-signés, un utilisateur devra accepter chaque certificat séparément.

Voulez-vous dire que vous avez une autorité de certification Windows? Si vous en avez déjà un, je l'utiliserais. Si vous n'en avez pas déjà un, je serais tenté d'utiliser un système léger comme TinyCA que vous pourriez exécuter sur une VM ou sur un Linux sur un disque USB.

Zoredache
la source
Impressionnant! C'est exactement l'information que je cherchais.
Max Schmeling
2

Un certificat peut contenir des informations sur les utilisations pour lesquelles il est autorisé, par exemple s'il peut être utilisé pour signer d'autres certificats de clé publique ou s'il s'agit d'un certificat d'autorité de certification. Certaines implémentations peuvent vérifier ce type d'informations et refuser d'honorer un certificat à certaines fins sans les bonnes informations

Voici quelques exemples de ces informations supplémentaires:

  • L'extension "Key Usage" (OID 2.5.29.15), qui peut spécifier si ce certificat peut être utilisé ou non pour la signature de certificat de clé.
  • L'extension "Basic Constraints" (OID 2.5.29.19), qui spécifie s'il s'agit ou non d'un certificat CA.

Si vous créez votre propre certificat auto-signé et que vous souhaitez l'utiliser en tant que certificat CA et que vous souhaitez augmenter vos chances de le faire accepter par le logiciel avec lequel vous l'utiliserez, vous devez probablement vous assurer il contient des valeurs correctement configurées pour ces deux extensions que j'ai mentionnées ci-dessus.

Si vous omettez ces deux extensions, de nombreuses implémentations peuvent toujours l'honorer en tant que certificat CA, mais certaines implémentations ne le peuvent pas.

Spiff
la source
0

Si vous souhaitez signer vos propres certificats, vous aurez besoin d'une autorité de certification (que ce soit la vôtre ou une officielle). Mais, vous n'avez pas besoin de pousser votre autorité de certification auprès des utilisateurs, sauf si vous prévoyez de signer plusieurs certificats et que vous souhaitez que vos utilisateurs n'en acceptent qu'un (par exemple, s'ils installent votre autorité de certification, tous les certificats que vous émettez seront alors acceptés). Il serait peut-être préférable de pousser l'AC à long terme.

Geai
la source
-1

N'est-ce pas la même chose? Un certificat délivré par votre propre autorité de certification interne est "auto-signé", ce qui signifie qu'il n'a pas été émis par une autorité de certification externe, non?

joeqwerty
la source
Non. La propriété "auto-signée" n'a rien à voir avec les autorités de certification externes et internes. En fait, les certificats racine de toutes les autorités de certification externes sont auto-signés. Accédez simplement à n'importe quel site Web SSL, comme google mail, et examinez chaque certificat de la chaîne de certificats.
président James Moveon Polk du