1. घर
  2. सवाल और जवाब
  3. मेककर्ट टूल के साथ किए गए प्रमाण पत्र का उपयोग क्यों किया जा रहा है, उत्पादन में बुरा?

मेककर्ट टूल के साथ किए गए प्रमाण पत्र का उपयोग क्यों किया जा रहा है, उत्पादन में बुरा?

2009-02-09 4 views
10

मैं वर्तमान में एक प्रोजेक्ट पर काम कर रहा हूं जहां मैंने सीए प्रमाण और सीए प्रमाण पत्र में कुछ बच्चे के कर्ट बनाए हैं। प्रमाणपत्रों का उपयोग SAMLV2 सेटअप में अंतर-सर्वर संचार की सुरक्षा के लिए किया जा रहा है, इसलिए मुझे पहचान प्रदाता के लिए प्रमाण पत्र और सेवा प्रदाता के लिए प्रमाण पत्र प्राप्त होगा। उपयोगकर्ता/ब्राउज़र कर्ट को मान्य करने वाला नहीं है, इसलिए यह केवल उन सर्वरों को है जिन्हें मेरे कस्टम सीए पर भरोसा करने की आवश्यकता है। उन्होंने कहा कि यह एक का उपयोग करने के बुरा हैमेककर्ट टूल के साथ किए गए प्रमाण पत्र का उपयोग क्यों किया जा रहा है, उत्पादन में बुरा?

  • CustomRootCACert
    • CustomIdentityProviderCert
    • CustomServiceProviderCert

अब, मैं बहुत से लोगों को सुना है: मेरी प्रमाणपत्र पेड़ कुछ इस तरह दिखता उत्पादन में घर से बना प्रमाणपत्र। लेकिन जब मैं पूछता हूं कि क्यों लोग आम तौर पर सुरक्षा के बारे में कुछ बदलते हैं लेकिन विवरण में कभी नहीं जाते। क्या उत्पादन में मेरे अपने कर्ट का उपयोग न करने के लिए कोई तकनीकी कारण हैं? मैं किसी के बारे में नहीं सोच सकता ... बेशक मुझे एहसास है कि अगर मैं अपने रूट प्रमाण पर नियंत्रण खो देता हूं तो कोई भी प्रमाण पत्र बनाने के लिए शुरू कर सकता है। लेकिन इस मामले में उन्हें अपने सर्वर पर प्रमाणपत्र स्थापित करना होगा और उन्हें उपयोग करने के लिए सैम एप्लिकेशन को कॉन्फ़िगर करना होगा। तभी वे नकली नमूना अनुरोध और मेरे अनुप्रयोगों के जवाब उत्पन्न करना शुरू कर सकते हैं।

यदि यह एकमात्र समस्या है, तो यह समाधान (उत्पादन में घर से बने कॉर्ट का उपयोग करके) आज भी हमारे पास लॉगिन सेटअप से बेहतर होगा।

स्रोत

2009-02-09 JohannesH

उत्तर

18

खुद से पूछें कि प्रमाण पत्र क्या साबित करता है।

यदि आपको एक प्रतिष्ठित सीए द्वारा जारी प्रमाण पत्र मिलता है, तो यह साबित करता है कि प्रमाण पत्र धारक ने सीए को अपनी पहचान प्रमाण के मानकों के लिए सत्यापित कर ली है।

यदि आपको विज्ञापन-प्रसार सीए द्वारा जारी प्रमाणपत्र प्राप्त होता है, तो यह साबित करता है कि कोई प्रमाण पत्र कैसे बनाना है।

यदि आप वार्तालाप के दोनों सिरों को नियंत्रित करते हैं, तो मुझे लगता है कि उद्देश्य के लिए अपना निजी सीए रखना ठीक है। आप शायद इसे बहुत सुरक्षित बना सकते हैं (सीए निजी कुंजी को सुरक्षित स्थान पर ऑफ़लाइन रखते हुए, और एक स्नीकरनेट व्यायाम पर हस्ताक्षर करके)।

स्रोत

2009-02-09 11:31:13 slim

3

निजी उपयोग में स्वयं हस्ताक्षरित प्रमाणपत्र का उपयोग करने में कोई वास्तविक समस्या नहीं है, जिसका उपयोग तब होता है जब आप होमब्री रूट प्रमाणपत्र पर भरोसा करने वाले सभी सिस्टम को नियंत्रित करते हैं।

आप अपने रूट प्रमाण को उन सभी प्रणालियों पर मैन्युअल रूप से इंस्टॉल करते हैं जिन्हें विश्वास करने की आवश्यकता है।

आप इसे उत्पादन में भी ब्राउज़र उपयोग के लिए कर सकते हैं - उदाहरण के लिए एक संगठन के भीतर जहां रूट सीए सॉफ़्टवेयर विघटन विधि के माध्यम से लुढ़काया जा सकता है - माइक्रोसॉफ्ट के एक प्रमाणपत्र प्राधिकरण का भुगतान करने की कीमत पर जाने का कोई कारण नहीं है विश्वास करने के लिए होता है।

[संपादित करें] सुरक्षा के मामले में यह समस्या आपके रूट प्रमाणपत्र के लिए निजी कुंजी है, जब तक कि आप यह सुनिश्चित कर सकें कि निजी रहता है तो आप उस रूट से किसी प्रमाण पत्र को सत्यापित कर सकते हैं।

स्रोत

2009-02-09 11:31:41

5

यदि प्रमाण पत्र केवल आपके स्वयं के सर्वर (और क्लाइंट, एक तरफ या दूसरे द्वारा उपयोग नहीं किया जाता है) के बीच आंतरिक रूप से पारित होते हैं - तो यह आपके आंतरिक सीए का उपयोग करने के लिए पूरी तरह से स्वीकार्य है।
हाउवर, एक सुझाव - आपके रूट सीए को आपके प्रदाता कर्ट जारी नहीं हैं।इसके बजाय, इंटरमीडिएट सीए बनाने के लिए अपने रूट सीए का उपयोग करें - फिर प्रदाता प्रमाणपत्र जारी करने के लिए इसका उपयोग करें। यह आपको दीर्घकालिक अवधि में मदद करेगा, जब आपको सिस्टम की समाप्ति, सिस्टम/आधारभूत संरचना, निरस्तीकरण सूचियां इत्यादि का विस्तार करना होगा,

स्रोत

2009-02-09 11:36:29 AviD

+0

सलाह के लिए धन्यवाद! क्या आपके पास इस अभ्यास पर और जानकारी के लिए कोई लिंक है? – JohannesH

+0

इसे आजमाएं: http://technet.microsoft.com/en-us/library/dd277378.aspx#EGAA। कम से कम शुरू करने के लिए ... – AviD

+0

वाह यह बहुत बड़ा है ... धन्यवाद! :) – JohannesH

7

चूंकि आप केवल नेटवर्क यातायात की सुरक्षा के लिए प्रमाण पत्र का उपयोग कर रहे हैं और फिर उपयोगकर्ता/कंप्यूटर प्रमाणित नहीं करते हैं ऐसा लगता है कि MakeCert.exe का उपयोग करने के लिए आपके पास वैध उपयोग है।

मुझे लगता है कि उल्लेख करने योग्य एक बात है। MakeCert.exe इंटरफ़ेस के साथ काम करने में कुछ समय व्यतीत करने के बाद आप इसके बजाय स्टैंड-अलोन रूट प्रमाणपत्र सर्वर का उपयोग करने पर विचार कर सकते हैं।

इन बातों पर विचार करें:

  • (लगभग) Windows सर्वर के सभी संस्करणों प्रमाणपत्र सर्वर सेवा स्टैंड-अलोन CA सर्वर के लिए मुफ्त
  • विंडोज अत्यंत सरल है स्थापित करने और कॉन्फ़िगर करने के लिए
  • विंडोज खड़े शामिल एकमात्र सीए सर्वर वर्चुअल मशीन पर स्थापित किया जा सकता है और जब भी आपको अतिरिक्त प्रमाणपत्र जारी करने की आवश्यकता होती है तो उसे चालू/बंद कर दिया जाता है
  • एक वीएम आधारित विंडोज स्टैंड-अलोन सीए सर्वर बहुत कम स्मृति (उदा। 256 एमबी)
    • 012 का उपयोग करके चलाया जा सकता है
  • विंडोज स्टैंड-अलोन सीए सर्वर में अनुरोध प्रमाण पत्र को सरल बनाने के लिए एक अच्छा और साफ वेब आधारित नामांकन इंटरफ़ेस शामिल है।
  • आपकी आवश्यकताओं के आधार पर सीआरएल जांच का उपयोग या उपयोग नहीं किया जा सकता है।

अतीत मैं पहली बार selfssl.exe के साथ शुरू किया और अंततः में MakeCert.exe में ले जाया गया मूल प्रमाणपत्र उत्पन्न करने के लिए और फिर मेरा क्लाइंट प्रमाण पत्र जारी किए हैं। लेकिन वाक्यविन्यास के साथ संघर्ष करने के बाद और हमेशा यह याद रखना होगा कि मैंने रूट प्रमाणपत्र कैसे रखा है, मैंने वर्चुअल मशीन में स्टैंड-अलोन रूट सीए का उपयोग करने के लिए स्विच किया है।

स्रोत

2009-02-19 08:00:14 Dscoduc

+0

टिप के लिए धन्यवाद। +1;) – JohannesH

संबंधित मुद्दे
नवीनतम प्रश्न

 संबंधित मुद्दे