Существует ли различие между самоподписанным сертификатом и одним подписанным Вашим собственным CA?
Я серьезно рассмотрел бы бэкпортирование tomcat6 пакетов от тестирования. Можно подписаться на пакет для получения уведомлений о новых версиях, загружаемых на архив. (Я немного смещаюсь, поскольку я работал над debian, упаковывающим).
Я не попытался выполнить веб-приложения в соответствии с менеджером безопасности, поскольку никакое приложение не идет с политикой, и это - откровенно трудоемкая операция для создания той самостоятельно. Если Вы параноики, можно, конечно, сделать так. Это главным образом включает рабочего кота, ожидающего чего-то для обмана и затем добавление исключения к политике и перезапуска кота снова. Промывка, повторитесь и т.д.
Очевидно, не выполняйте кота как корень. Пользователь кота не должен мочь записать во что-либо вне каталога журнала или рабочего каталога. Необходимо удостовериться, что каталог веб-приложений только содержит веб-приложения, которые Вы хотите выполнить.
Я всегда выполняю кота позади апача. Это частично, потому что я хотел бы думать, что больше людей использует апача, таким образом, ошибки были бы найдены более быстрыми. Это - в значительной степени принятие желаемого за действительное, и Вы не должны полагаться на этот являющийся улучшением безопасности. То, что Apache действительно приносит Вам, является конфигурируемостью. Существует много модулей, которые кот просто не имеет или не может сделать как эффективно. mod_cache, mod_ssl, mod_security все приходят на ум. У Вас есть выбор mod_jk, mod_proxy (и или mod_proxy_http или mod_proxy_ajp). mod_jk (и mod_proxy_ajp) используют двоичный протокол AJP, а не менее эффективный http протокол. Я рекомендовал бы использовать mod_jk.
В ближайшей перспективе для единственного сервиса нет большого различия.
Если Вы решаете, что необходимо установить больше сервисов, которые используют SSL, то можно найти, что установка CA была бы лучшим выбором.
При установке CA необходимо смочь заставить клиенты доверять CA и таким образом любым сертификатам, которые он подписывает. Однажды они CA добавляет, что дополнительные услуги легки. С большим количеством самоподписанных сертификатов пользователь должен будет принять каждый сертификат отдельно.
Вы говорите, что у Вас есть окна CA? Если бы Вы уже имеете один, я использовал бы его. Если бы Вы уже не имеете один, я испытал бы желание использовать легкую систему как TinyCA, который Вы могли выполнить в VM или от Linux на диске USB.
-
1Потрясающе! That' s точно информация я искал. – Max Schmeling 8 April 2010 в 22:29
Сертификат может содержать информацию, о котором использовании он авторизовывается для, такой как, позволяется ли использоваться для подписания других сертификатов открытых ключей, или является ли это сертификатом CA. Некоторые реализации могут проверить на такую информацию и отказаться соблюдать сертификат в определенных целях без правильной информации
Примеры этих дополнительных сведений включают:
- "Ключевое Использование" расширение (OID 2.5.29.15), который мог бы указать, позволяют ли этому сертификату использоваться для Ключевого Подписания Сертификата.
- Расширение "Основных ограничений" (OID 2.5.29.19), который указывает, является ли это сертификатом CA.
Если Вы создаете свой собственный самоподписанный сертификат, и Вы хотите использовать его в качестве сертификата CA, и Вы хотите увеличить свои возможности принятия его любым программным обеспечением, с которым Вы будете использовать его, необходимо, вероятно, удостовериться, что он содержит правильно настроенные значения для тех двух расширений, которые я упомянул выше.
При исключении тех двух расширений много реализаций могли бы все еще соблюдать его как сертификат CA, но некоторые реализации не могли бы.
Разве они не то же самое? Сертификат, выпущенный Вашим собственным внутренним CA, "самоподписывается", означая, что он не был выпущен внешним CA, правильно?
-
1Нет. " self-signed" свойство не имеет никакого отношения внешний по сравнению с внутренней АВАРИЕЙ. На самом деле корневые сертификаты обо всей внешней АВАРИИ самоподписываются. Просто перейдите к любому веб-сайту SSL, как почта Google, и исследуйте каждый сертификат в цепочке сертификата. – James Reinstate Monica Polk 15 April 2010 в 00:23
Если Вы захотите подписать свои собственные сертификаты, то Вам будет нужен CA (Ваше ли это или официальное). Но, Вы не должны продвигать свой CA пользователям, если Вы не планируете подписание нескольких сертификатов и хотите, чтобы Ваши пользователи только должны были принять один (т.е. если они установят Ваш CA, то все сертификаты, которые Вы выпускаете, будут затем приняты). Могло бы быть лучше продвинуть CA в долгосрочной перспективе.