자체 서명 인증서와 자체 CA에서 서명 한 인증서간에 차이가 있습니까? 인증서와 설정 한 Windows Server CA에서

중요한 응용 프로그램 몇 개를 위해 내부 네트워크에서 SSL을 사용해야하는데 자체 서명 인증서와 설정 한 Windows Server CA에서 서명 한 인증서간에 차이가 있는지 알아야합니까? CA를 설정해야합니까?



답변

단일 서비스의 단기적으로는 큰 차이가 없습니다.

SSL을 사용하는 더 많은 서비스를 설정해야한다면 CA 설정이 더 나은 선택 일 수 있습니다.

CA를 설정하면 클라이언트가 CA와 서명 한 인증서를 신뢰하도록 할 수 있어야합니다. 일단 CA가 추가되면 추가 서비스를 쉽게 추가 할 수 있습니다. 자체 서명 된 인증서가 많으면 사용자는 각 인증서를 개별적으로 수락해야합니다.

Windows CA가 있다고 말씀하십니까? 이미 가지고 있다면 사용하겠습니다. 아직없는 경우 TinyCA와 같은 경량 시스템을 사용하여 VM에서 또는 Linux에서 USB 디스크로 실행할 수 있습니다.


답변

인증서에는 다른 공개 키 인증서 서명에 사용할 수 있는지 또는 CA 인증서인지와 같이 인증 된 용도에 대한 정보가 포함될 수 있습니다. 일부 구현은 그러한 종류의 정보를 확인하고 올바른 정보없이 특정 목적을 위해 인증서를 존중하지 않을 수 있습니다

이러한 추가 정보의 예는 다음과 같습니다.

  • “키 사용”확장 (OID 2.5.29.15).이 인증서를 키 인증서 서명에 사용할 수 있는지 여부를 지정할 수 있습니다.
  • “Basic Constraints”확장 (OID 2.5.29.19). 이것이 CA 인증서인지 여부를 지정합니다.

자체 서명 된 인증서를 작성하고이를 CA 인증서로 사용하려는 경우 사용할 소프트웨어에 의해 승인 될 가능성을 높이려면 아마도 확인해야합니다. 위에서 언급 한 두 확장에 대해 올바르게 구성된 값이 포함되어 있습니다.

이 두 확장을 생략하면 많은 구현에서 여전히 CA 인증서로 인정할 수 있지만 일부 구현에서는 그렇지 않을 수 있습니다.


답변

자신의 인증서에 서명하려면 CA가 필요합니다 (자신의 인증서이든 공식 인증서이든). 그러나 여러 인증서에 서명 할 계획이없고 사용자가 한 인증서 만 수락하기를 원하지 않는 한 (즉, CA를 설치하면 발급 한 모든 인증서가 수락 됨) CA를 사용자에게 푸시 할 필요가 없습니다. 장기적으로 CA를 푸시하는 것이 좋습니다.


답변

그들은 같은 것이 아닌가? 자체 내부 CA에서 발급 한 인증서는 “자체 서명”입니다. 즉, 외부 CA에서 발급하지 않은 것입니까?