Dipende tutto da cosa vuoi fare.
Innanzitutto, a meno che tu non abbia solo due macchine e abbia davvero bisogno di una soluzione economica, evita i certificati autofirmati. Sono gratuiti e facili da generare ma la manutenzione diventa esponenzialmente più difficile quando si aggiungono server che conducono a comportamenti scorretti (ci si fidata ciecamente di certificati permanenti su ogni server, utilizzando certificati con scadenza molto lunga, ecc.).
Ora ci sono altre due opzioni: configurazione di CA o uso di una root esterna.
Configurare la propria CA è complicato: da un lato è molto facile da eseguire, dall'altro è piuttosto difficile farlo giusto : ci sono un sacco di trappole molto facili da innamorare ciò ridurrà sostanzialmente la sicurezza (e talvolta l'usabilità) della PKI, quindi è una soluzione che deve essere attentamente pianificata, testata, implementata e mantenuta.
Detto questo, avere una CA interna (supponendo che sia configurata e mantenuta correttamente) ti darà un sacco di strumenti molto potenti per l'impostazione della sicurezza interna e semplifica la gestione dei singoli certificati del server MOLTO (in alcune situazioni, può essere completamente automatizzato).
L'alternativa è usare una CA commerciale. Se le seguenti condizioni sono soddisfatte, allora è una soluzione piuttosto buona:
- Le esigenze di sicurezza ricadono nell'offerta standard (ad esempio, se si desidera proteggere i server Web).
- Hai intenzione di utilizzare esclusivamente domini di tua proprietà (ad es. "mycompany.local", nessun indirizzo IP, nessun nome NetBIOS "breve").
- Potresti aver bisogno, ad un certo punto, di offrire l'accesso esterno ad alcune (o tutte) delle tue macchine interne.
Un ultimo consiglio: evitare l'uso di certificati jolly singoli su più server. Ciò renderà più difficile mantenere le tue chiavi private in sicurezza e la violazione di un singolo server lascerà l'intera infrastruttura vulnerabile.