Gibt es einen Unterschied zwischen einem selbstsignierten und einem von Ihrer eigenen Zertifizierungsstelle signierten Zertifikat?

Wir müssen SSL in unserem internen Netzwerk für einige vertrauliche Anwendungen verwenden, und ich muss wissen, ob es einen Unterschied zwischen einem selbstsignierten Zertifikat und einem von einer von uns eingerichteten Windows Server-Zertifizierungsstelle signierten Zertifikat gibt. Müssen wir eine Zertifizierungsstelle einrichten?

Kurzfristig gibt es für einen einzelnen Dienst keinen großen Unterschied.

Wenn Sie entscheiden, dass Sie mehr Dienste einrichten müssen, die SSL verwenden, ist das Einrichten einer Zertifizierungsstelle möglicherweise die bessere Wahl gewesen.

Wenn Sie eine Zertifizierungsstelle einrichten, sollten Sie in der Lage sein, Ihre Clients dazu zu bringen, der Zertifizierungsstelle und damit den von ihr signierten Zertifikaten zu vertrauen. Sobald die Zertifizierungsstelle aktiv ist, ist das Hinzufügen zusätzlicher Dienste einfach. Bei vielen selbstsignierten Zertifikaten muss ein Benutzer jedes Zertifikat separat akzeptieren.

Wollen Sie damit sagen, dass Sie eine Windows-Zertifizierungsstelle haben? Wenn Sie bereits eine haben, würde ich es verwenden. Wenn Sie noch keines haben, wäre ich versucht, ein leichtes System wie TinyCA zu verwenden, das Sie in einer VM oder unter einem Linux auf einem USB-Laufwerk ausführen können.

Ein Zertifikat kann Informationen darüber enthalten, für welche Verwendungszwecke es autorisiert ist, z. B. ob es zum Signieren anderer Public-Key-Zertifikate verwendet werden darf oder ob es sich um ein CA-Zertifikat handelt. Einige Implementierungen prüfen möglicherweise diese Art von Informationen und lehnen es ab, ein Zertifikat für bestimmte Zwecke ohne die richtigen Informationen einzuhalten

Beispiele für diese zusätzlichen Informationen sind:

• Die Erweiterung "Key Usage" (OID 2.5.29.15), die möglicherweise angibt, ob dieses Zertifikat für die Signierung von Schlüsselzertifikaten verwendet werden darf oder nicht.
• Die Erweiterung "Basic Constraints" (OID 2.5.29.19), die angibt, ob es sich um ein CA-Zertifikat handelt oder nicht.

Wenn Sie Ihr eigenes selbstsigniertes Zertifikat erstellen und es als CA-Zertifikat verwenden möchten und Ihre Chancen erhöhen möchten, dass es von der Software akzeptiert wird, mit der Sie es verwenden, sollten Sie dies wahrscheinlich sicherstellen Es enthält ordnungsgemäß konfigurierte Werte für die beiden oben genannten Erweiterungen.

Wenn Sie diese beiden Erweiterungen weglassen, wird es von vielen Implementierungen möglicherweise weiterhin als CA-Zertifikat anerkannt, bei einigen Implementierungen jedoch möglicherweise nicht.

Wenn Sie Ihre eigenen Zertifikate signieren möchten, benötigen Sie eine Zertifizierungsstelle (ob Ihre oder eine offizielle). Sie müssen Ihre Zertifizierungsstelle jedoch nicht an Benutzer weiterleiten, es sei denn, Sie möchten mehrere Zertifikate signieren und möchten, dass Ihre Benutzer nur eines akzeptieren müssen (dh, wenn sie Ihre Zertifizierungsstelle installieren, werden alle von Ihnen ausgestellten Zertifikate akzeptiert). Es könnte besser sein, die Zertifizierungsstelle langfristig voranzutreiben.

Sind sie nicht dasselbe? Ein von Ihrer internen Zertifizierungsstelle ausgestelltes Zertifikat ist "selbstsigniert", was bedeutet, dass es nicht von einer externen Zertifizierungsstelle ausgestellt wurde, oder?