在生产中使用仙人掌SSL证书而不是自签名证书是个好主意吗？

Question

在工作中，我有一堆使用普通http或自签名证书的web接口(负载均衡器管理接口、内部wiki、仙人掌、.)。

没有一个可以从外部特定的vlans/网络到达。

对于家庭使用，我使用仙人掌 SSL证书。

我想知道我是否应该建议我的雇主使用仙人掌SSL证书，而不是自签名证书和普通http。有人在生产中使用仙人掌ssl吗？赞成或反对的是什么？它能提高安全性吗？这更容易管理吗？有什么意外吗？它能影响qualys扫描吗？我怎么能说服他们？

当然，公共网站的付费证书将保持不变。

编辑:

(只是好奇)来自公司的免费ssl证书似乎不是3级的。我必须出示护照，并亲自在场，才能从仙人掌那里拿到第3级的证书。对于每个1类，浏览器中没有警告吗？

无论如何，对于任何免费的CA，我都会有同样的问题:它比使用自签名和普通的http和为什么更好吗？

我这样做是为了便于管理，服务器端。我错过什么了吗？

免责声明:我不是一个仙人掌协会成员，甚至不是可靠的，只是一个正常的快乐用户。

Answer 1

我建议，虽然使用免费证书(比如来自CACert的证书)没有什么问题，但是这样做也不会有任何好处。

由于它们不受任何默认信任，所以仍然需要将根证书安装/部署到所有客户端，这与使用内部CA颁发的自签名证书或证书的情况相同。

我喜欢的解决方案(和使用)是一个内部证书颁发机构，并将其根证书大规模部署到所有域计算机。通过对证书颁发机构的控制，您所使用的证书管理比通过门户网站更容易。使用您自己的CA，您通常可以编写一个证书请求和相应的证书问题的脚本，这样您的所有服务器、站点和任何需要证书的东西都可以自动获得证书，并且几乎在您被放入您的环境后立即被客户端信任，而无需IT人员进行任何努力或手工任务。

当然，如果您不能完成设置和自动化您自己的CA的任务，那么使用您所提到的外部免费CA可以使您的生活更加轻松，只需部署一个外部根证书.但是，您可能应该尝试第一次正确地执行此操作，并为您的域设置一个内部CA。

Answer 2

它比使用自签名和普通http更好吗?为什么？

自签署证书将训练你的用户(和你)习惯地通过警告点击，这是一个坏习惯。如果那个自签名的证书被一个流氓证书取代了呢？你的用户会注意到吗?还是他们会盲目地点击另一个安全对话框？