Sto configurando un sito per uso interno e verrà servito su HTTPS con un certificato server autofirmato. Per aumentare la sicurezza, voglio anche proteggere il sito con i certificati client.
C'è qualche ragione per utilizzare un'autorità di certificazione separata per firmare i certificati client invece di usare solo la chiave privata del server? Devo già firmarli?
Quando parli di sicurezza, tutta questa roba SSL autofirmata non ha nulla in comune con la sicurezza. Per implementare la corretta configurazione SSL per la rete interna, devi:
Il motivo è: separazione delle preoccupazioni e sicurezza. Il servizio Web è di default meno sicuro. Ci sono più possibilità che la chiave privata passi dal server web, perché non è possibile garantire una sicurezza adeguata a causa della specializzazione del server web (essere pubblica). Con una CA dedicata puoi fornire una maggiore sicurezza, in modo che meno persone possano accedervi sia fisicamente che a livello di programmazione.
Se perdi il certificato SSL, puoi revocarlo e emetterne uno nuovo. È richiesta una riconfigurazione minima del server. Non è richiesta alcuna riconfigurazione del client. Se si utilizza il certificato CA sul server Web, sarà necessario ricreare tutti i certificati server / client e riconfigurarli tutti in caso di compromissione della chiave.
Crypt32 ha fornito informazioni su "come". Ecco un motivo per fare questo il "modo giusto" -
La "giusta via" è probabilmente meno costosa che eseguire la propria CA, distribuire chiavi, ecc. "Let's encrypt" è gratuito. Un carattere jolly di un provider SSL "economico" è di soli $ 100 all'anno e può fornire un certificato per tutti i siti di un dominio. Entrambe le soluzioni sono molto economiche senza l'esecuzione di un server CA, la distribuzione di chiavi, ecc.
Leggi altre domande sui tag tls certificate-authority