Что риски доверия являются самоподписанным сертификатом на машине разработки?
Biztalk не поддерживает формы передачи журналов SQL-сервера. Biztalk использует отмеченные резервные копирования журнала транзакций для восстановления на запланированной основе. На 2009 посмотрите то, Что Передача журналов Сервера BizTalk?
Единственное различие между сертификатом, подписанным ЦС, и самозаверяющим сертификатом заключается в том, что ваш браузер (или другой клиент ssl) неявно доверяет самозаверяющему сертификату. Если вы доверяете сертификату, его импорт, чтобы ваш клиент не предупреждал, ничем не отличается от того, как средство записи браузера импортирует сертификаты CA в свои хранилища ключей.
Потенциально, если ваш закрытый ключ сертификата выйдет наружу, это может позволить кому-то MITM вас.
Заключение: Не совсем.
Всегда есть небольшой риск, но вы пара
Возможно, я о чем-то не думаю, но каким-то образом я думаю, у вас это получится.
Самоподписанный сертификат не более уязвим, чем сертификат, подписанный центром сертификации. Он становится небезопасным из-за поведения пользователей, которые привыкнут слепо принимать их и доверять им. Если вы добавите сертификат в доверенные корневые центры сертификации, то ваш компьютер будет доверять любому сертификату, подписанному этим сертификатом. Поэтому, если один из ваших самоподписанных сертификатов будет скомпрометирован, все машины, на которых он установлен, станут уязвимыми для человека в средней атаке. Хуже всего то, что у вас не может быть для них списка отзыва, и вам придется удалять их вручную, если он будет скомпрометирован.
Лучший подход - использовать внутренний центр сертификации и подписать ВСЕ внутренние сертификаты с вашим CA. Это одновременно и очень безопасно, и удобно, и дешево.
Чтобы настроить ЦС:
- Создайте физический компьютер, который будет использоваться в качестве центра сертификации. Только доверенные администраторы должны иметь доступ к этому ящику (в идеале - 2 человека).
- Создайте сервер отзыва, он должен отличаться от машины CA. (сервер со списком отозванных сертификатов, который будет доступен по крайней мере в вашей организации)
- Создайте корневой сертификат.
- Создайте промежуточный сертификат, который будет использоваться для целей подписи.
- Распечатайте частный корневой сертификат CA на бумаге и зафиксируйте бумагу в надежном сейфе.
- Уничтожьте корневой закрытый ключ CA с сервера CA.
- Распространите сертификат CA по всей компании и установите его как доверенный CA.
- Распространите промежуточный сертификат CA и установите его как промежуточный CA (недоверенный).
- Подпишите все сертификаты промежуточным сертификатом CA. Не допускайте истечения срока годности более 1-2 лет. Не разрешайте асимметричные ключи меньше 2048.
- Добавьте в список отзыва все скомпрометированные сертификаты.