内部服务器中的自签名证书或CA签名证书

Question

我需要在我们的内部服务器之间启用ssl。使用“内部服务器”，我的意思是在jee应用服务器和后端服务器之间启用ssl (即通配符->elasticsearch、通配符->mongo、通配符->mysql等等)。

因此，为了启用ssl，我需要创建和使用证书。我的问题很简单:这些证书是否应该是：

• 自我签名？
• 由CA签名？

编辑

另一方面，我不理解与CA签署的证书相关的问题.当您请求新证书时，提供程序将向您请求域。我能在网络平台上搞清楚这是为了什么，但是内部认证证书呢？这个域名是干什么用的？

Answer 1

这完全取决于你想做什么。

首先，除非您只有两台机器，并且确实需要一个廉价的解决方案，否则请避免使用自签名证书。它们是免费的，易于生成，但是随着您添加导致错误行为的服务器(盲目地在每台服务器上信任证书，使用过期时间很长的证书等)，维护变得更加困难。

现在，还有另外两个选项:设置低CA或使用外部根。

建立自己的CA是很棘手的:一方面，它很容易做到，另一方面，它很难做好:有许多非常容易落入陷阱，这将大大降低您的PKI的安全性(有时可用性)，所以这是一个需要仔细规划，测试，实现和维护的解决方案。

尽管如此，拥有内部CA (假设它是正确设置和维护的)将为您提供许多非常强大的工具来设置内部安全，并且它使管理单个服务器证书变得更加容易(在某些情况下，它可以完全自动化)。

另一种方法是使用商业CA。如果满足了以下条件，那么这是一个很好的解决方案：

• 您的安全需求在标准产品中(例如，如果您只想保护web服务器)。
• 您计划使用您拥有的专用公共域(即没有"mycompany.local"，没有IP地址，也没有“短”NetBIOS名称)。
• 您可能需要在某个时候提供对某些(或全部)内部机器的外部访问。

最后一个建议是:避免在多台服务器上使用单个通配符证书。这将使您更难安全地维护您的私钥，并且破坏单个服务器将使您的整个基础设施处于易受攻击状态。

Answer 2

自签名和CA签名的证书都提供加密，但是CA签名的证书也提供身份验证--这是一个保证站点是它报告的内容的级别，而不是一个冒名顶替的站点。

这就是身份验证的全部要点。正如上面提到的，您可能需要提供对某些计算机的外部访问，并且不需要身份验证警告。

虽然尝试省钱并签署自己的证书似乎是个好主意，但从长远来看，您只会伤害您的服务器，所以最好使用可信的CA签名证书。设置内部CA可能看起来是一项乏味的任务，但从长远来看是更好的选择。

您也可以选择第三方受信任的证书颁发机构。