Использовать персональный сертификат SSL, созданный самостоятельно?
Вы, вероятно, хотели бы использовать Проксированную Авторизацию. Это использует специальные операционные атрибуты (authzTo или authzFrom) позволить тот обязало пользователя выполнять операции с помощью идентификационных данных и полномочий другого пользователя.
Я использую ldap UnboundID sdk, у них есть пример работающих операций с помощью Проксированной Авторизации в их javadocs для ProxiedAuthorizationV2RequestControl.
Вы можете создать свой собственный сертификат SSL. Просто имейте в виду, что ваши пользователи получат большое пугающее предупреждающее сообщение о том, что сертификат не может быть проверен. Это беспокоит многих пользователей. Кто-то может просто уйти или позвонить в вашу службу поддержки, что может стоить вам денег.
SSL-сертификаты служат для двух целей:
- Для включения шифрования
- Для проверки того, что человек, с которым, по вашему мнению, вы разговариваете, на самом деле является
Самоподписанный сертификат выполняет только первую задачу, если только у вас нет возможности для проверки сертификата, например, предоставления им копии публичной половины лично, чтобы они могли добавить ее в свое хранилище доверенных сертификатов.
Проверяющая часть гарантирует, что, например, I не сгенерировал сертификат с именем вашего веб-сайта, а затем захватил вашего клиента » s DNS или сетевое соединение и направьте их на мой сервер. Теоретически Verisign / Godaddy / Кто не даст мне сертификат для вашего веб-сайта.
Для внутренних сайтов или небольших сайтов, где вы можете легко заставить своих пользователей установить сертификат, самоподписанный работает нормально. Для публичного сайта это в значительной степени неприемлемо. Несмотря на то, что он позволяет шифрование, это не доказывает, что вы являетесь тем, кем себя называете. И это вызывает БОЛЬШОЕ СТРАШНОЕ сообщение об ошибке. Одного этого является достаточной причиной, чтобы заплатить несколько долларов за действительный доверенный сертификат.
Что касается сертификатов расширенной проверки - нет возможности создать свой собственный. В браузерах есть очень конкретный список корневых сертификатов, которым разрешена расширенная проверка, и который обычно не настраивается пользователем. Если не считать перепрограммирования,
, но сертификат SSL повысит их доверие к сайту. Я не заботиться, если какая-то компания возьмет на себя ответственность и появится на моем информация о сертификате.
Это на самом деле довольно распространено (к сожалению) в компаниях, которые развертывают сайты с поддержкой SSL для своих сотрудников (на ум приходит SSL VPN) или извне (экстранет).
С самозаверяющим сертификатом, кто вы говорят:
«Если вы доверяете мне, заходите!»
... и большинство браузеров предупреждают пользователя о необходимости подтверждения доверия. Некоторые просто выберут постоянное доверие к сайту и сертификату (что также часто встречается во внутренних приложениях / сайтах компании).
С помощью стороннего доверенного сертификата вы говорите, по сути, следующее:
«Если вы доверяете вставьте стороннего поставщика сертификатов , входите! "
По умолчанию браузеры / ОС имеют список (время от времени обновляемый) доверенных поставщиков сертификатов. Этот список позволяет браузеру (и, следовательно, пользователю) доверять тому, что сертификат - это то, о чем он говорит, и выдается / для того, что он говорит. Вы можете думать об этом как о нотариусе. Третья сторона просто говорит: «Ага, я выдал им сертификат на основании действительности информации на тот момент».
Итак, решите ли вы развернуть самоподписанный сертификат или нет, действительно зависит от вас. и ваш случай / потребность. Вам нужно будет решить, будут ли ваши клиенты / пользователи заботиться или нуждаться в той «гарантии», которую может предоставить действительный сторонний сертификат.
Независимо от того, решите ли вы развернуть самозаверяющий сертификат или нет, действительно зависит от вас и вашего случая / необходимости. Вам нужно будет решить, будут ли ваши клиенты / пользователи заботиться или нуждаться в той «гарантии», которую может предоставить действительный сторонний сертификат. Независимо от того, решите ли вы развернуть самозаверяющий сертификат или нет, действительно зависит от вас и вашего случая / необходимости. Вам нужно будет решить, будут ли ваши клиенты / пользователи заботиться или нуждаться в той «гарантии», которую может предоставить действительный сторонний сертификат.Если вам нужен бесплатный сертификат SSL, лучшее место, которое я нашел, - это StartSSL . Это не так удобно, как в других местах, но это бесплатно для базовых сертификатов SSL и низкая единовременная плата для других, это того стоит. Что касается расширенной проверки, все компании, которые ее предлагают, требуют доказательства юридического и физического присутствия бизнеса.