Вопросы Теги

Как Вы выходите доверяемый сам подписанные сертификаты?

Вы не должны испытывать никакие затруднения при передаче баз данных от SQL2000 до 2005 или 2008, но Вы будете желать сделать надлежащий тест приложений прежде, чем сделать так в продуктивной среде (на всякий случай).

У меня еще нет опыта SQL2008, но мы переместили многих DBS с 2000 до 2005 только с одной маленькой проблемой с некоторым кодом в старом приложении. Та проблема происходила из-за того, как некоторые представления были определены/названы в том проекте. Если представление определяет поле как "ВЫБОР [somefield] =NULL, [и], [отдых] ОТ [sometable]" затем приложение, выполняющее "ВЫБОР * ОТ [theview], ГДЕ [somefield] = 'значение'" иногда вызывало бы cast-of-varchar-to-int ошибку (но не во всех случаях) в SQL2005, где это никогда не делало в SQL2000. Простое решение состояло в том, чтобы изменить представление на [somefield] =CAST (ПУСТОЙ AS NVARCHAR). Вы, вероятно, не столкнетесь с этой конкретной проблемой, и у нас не было никаких других, но она подтверждает точку зрения, что необходимо сделать полный тест приложения в dev/test среде прежде, чем сделать переход для живого сервиса.

Мы переместили DBS с SQL2005 на 32 бита на серверы SQL2005 на 64 бита без любых проблем вообще, и я ожидаю идти от 64 назад к 32, работал бы точно также.

Обратите внимание, хотя это когда-то перемещенное в SQL2005, кладущий обратно базу данных к SQL2000, является значительной болью, таким образом, для разрабатывания моей основной темы удостоверяются, что Вы тестируете полностью прежде, чем переместить Ваши собственные приложения. Также удостоверьтесь, что Вы добираетесь, ясное письменное слово от любых внешних поставщиков включило тот их DBS/код, были протестированы против версии SQL Server, который Вы выбираете.

Править: еще один важный момент: наши приложения мы переместили этот путь, не используют дополнительные сервисы как полнотекстовое индексирование, сообщая о сервисах, и так далее - просто основное обслуживание базы данных SQL - таким образом, я не могу прокомментировать, мигрируют ли приложения, которые используют такие дополнительные функции, гладко или нет.

5
задан 1 January 2010 в 22:39
3 ответа

Это зависит от того, что Вы просите точно. Если Вы хотите способность создать и отменить Ваши собственные сертификаты, которым доверяют браузеры (то есть, от установленного CA) затем необходимо искать поставщика, который дает Вам, управлял доступом PKI. Я знаю, что и Thawte и Verisign обеспечивают это.

Если Вы хотите создать certififcates для других для использования, которые объединяются в цепочку к доверяемому CA, существуют некоторые поставщики, которые делают это, но он стоит МНОГО.

Если с другой стороны, Вы хотите создать сертификаты для своего собственного внутреннего пользования и хотеть создать Ваш собственный CA, который Вы импортируете в свой браузер вручную, можно выполнить это использование просто OpenSSL.

4
ответ дан 3 December 2019 в 01:16
  • 1
    Только для давания Вы общее представление о том, что Alex подразумевает под МНОГО моей компании просто, исследовали установку как цепочечный CA, и только начать это было что-то как 150K в аппаратных средствах и лицензировании и затем продолжающейся стоимости на сертификат, который мы выпустили. –  Zypher 31 December 2009 в 22:06
  • 2
    Аппаратные средства, возможно, могут стоить много (you' d хотят, чтобы что-то как HSM удержало ультрабезопасные клавиши в любом случае, так же, как объект контрольного списка если ничто иное), но действительно не должно быть никаких затрат на лицензирование. RSA открыт теперь, и SHA-1 всегда был. Как трудно Вы смотрите на каждый person' s ключ Вы подписываетесь, переменная стоимость, но тяжелее Вы смотрите, лучшие люди будут доверять Вам. Вхождение в браузеры является твердой частью, но я понимаю it' s просто простой вопрос bribes^H^H^H^H^H^H оплаты. –  Michael Graff 31 December 2009 в 23:49
  • 3
    Alex, способность создать много сертификатов, которым доверяет любой общедоступный клиент, является целью. Вы нашли какие-либо решения, которые не были непомерно оценены? –  MandoMando 1 January 2010 в 19:14
  • 4
    К сожалению, я don' t знают о любом дешевом способе сделать его для любого CA, которому автоматически доверяют браузеры. В основном, за именно это Вы платите. Исключая то неявное доверие браузера можно сделать все, что они делают с openSSL. Мы используем Thawte' s Управляемый продукт PKI для нашего поколения сертификата. Действительно легко работать с, но сертификаты стоят почти 200$ за часть в течение года. Мы предварительно оплачиваем для сертификатов, в которых мы нуждаемся через год и выходим/отменяем их, как нам нужно. –  Alex 2 January 2010 в 07:22

Вы будете интересоваться этим обсуждением, у меня было несколько месяцев назад на ServerFault. В нескольких коротких словах это не что-то, во что Вы собираетесь хотеть войти, если у Вас нет большого количества времени и денег для преследования типа решения Zypher, упомянутый в ответе Alex.

Конечно, в зависимости от Вашего приложения, Вы можете становиться своим собственным CA и распределять тот сертификат Вашим пользователям (в основном установка и "доверять" ему их системам), который можно затем использовать для подписания других сертификатов, которым пользователи будут доверять (из-за цепочки доверия).

Считайте другой вопрос и ответы для получения дополнительной информации.

Дополнительная Информация О Сертификатах UCC/SAN

IceMage, на который указывают, ответил на мой вопрос об обходном решении для ситуации, подобной Вашему. Эти сертификаты UCC круты и обработали мои потребности, но они действительно требовали небольшой дополнительной работы. Тот поток конкретно обсуждает CACert, но я закончил тем, что покупал то, в чем я нуждался от GoDaddy. Я надеюсь, что эта информация выручает Вас.

3
ответ дан 3 December 2019 в 01:16
  • 1
    Спасибо за указание на обсуждение. Вопрос, который Вы обсудили, немного отличается, но близко к нашему. Как Вы заканчивали тем, что шли об этом? –  MandoMando 1 January 2010 в 17:29
  • 2
    Ну, рассказ - я didn' t преследуют становление CA или попытку выпустить промежуточный сертификат, что я мог использовать для подписания других сертификатов. Согласие состоит в том, что любой возможен, но оба являются дорогостоящими. Решение/обходное решение моей проблемы было к так называемыми сертификатами UCC. Эти сертификаты используют дополнительный " subjectAlternativeName" поля, которые можно использовать для ввода больше чем одного допустимого доменного имени. I' ll обновляют основную часть этого ответа с большим количеством информации. –  Clint Miller 1 January 2010 в 21:17

Я не думаю, что можно подписать собственные сертификаты даже для субдомена, не проходя долгий и дорогой процесс для становления корневым центром сертификации. Сертификату доверяют, потому что он прибывает из полномочий, которые перечислены в Вашем веб-браузере.

Это центры сертификации, включенные в Firefox - http://www.mozilla.org/projects/security/certs/included/

2
ответ дан 3 December 2019 в 01:16
  • 1
    Вы don' t должен быть Корнем Приблизительно. Пока существует цепочка сертификата к корню, можно подписать сертификаты. Браузеры знают, как следовать за цепочкой до корня. –  MandoMando 1 January 2010 в 17:07

Теги

Похожие вопросы