Para um servidor de intranet, você compraria um certificado ssl ou usaria um certificado autoassinado?

Em vez de um certificado auto-assinado, eu criaria uma autoridade de certificação raiz local e, em seguida, geraria o certificado SSL, assegurando que todos os sistemas internos tivessem uma cópia da chave pública da CA raiz.

As chaves geradas dessa forma têm muitos usos fora do HTTPS simples, elas também podem ser usadas para OpenVPN, POP3S, SMTPS, etc, mesmo para contas SMIME individuais.

Ter uma CA raiz única para sua organização é muito melhor do que ser resgatado pelas CAs reconhecidas que cobram por cada servidor para o qual você deseja obter um certificado e ousar cobrar uma "taxa de licença" se você quiser colocar o mesmo certificado em vários servidores em um cluster com balanceamento de carga.

tente o CAcert . eles são gratuitos, você só precisa ter a raiz instalada. um passo acima com certificados auto-assinados.

Se o custo é um problema e você é centrado no Windows, como o Sr. Denny sugere, vá com o Microsoft Certificate Services e implante os certificados como parte do GPO de Domínio Padrão. Você provavelmente precisará de três sistemas, mas pode ser VMs. Você precisará da CA raiz, que deve ser usada apenas para emitir os certificados para as CAs intermediárias. Você deve ter uma CA intermediária como a CA corporativa e, em seguida, a terceira como uma autoridade de certificação "autônoma" para poder emitir certificados para ativos que não são de domínio.

Se você tiver muitos clientes e for grande o suficiente, poderá procurar obter uma raiz de uma das soluções de terceiros e emitir seus próprios certificados de uma autoridade de certificação que obtenha seu certificado da terceira parte. Dessa forma, você não precisa implantar o certificado da CA. Por exemplo, existe uma solução de GeoTrust .

Pelo baixo preço dos certificados iniciais, como rapidssl, eu provavelmente compraria um desses, pelo menos se você só precisasse de uma quantidade mínima deles. Sinto que vale a pena cobrar uma pequena taxa para impedir que os usuários aceitem o certificado autoassinado não confiável, pois isso sempre causa alguns problemas para usuários não técnicos.

Supondo que você seja um domínio do Windows para seus desktops, instale uma CA do Windows em casa, a qual será automaticamente confiável para todos os computadores da empresa por meio do AD. Dessa forma, você pode emitir certificados para os aplicativos internos necessários sem precisar adquirir um certificado.

Normalmente, sim, eu usaria um certificado PEM auto-assinado para essas coisas. No entanto, qual é a sensibilidade do site na sua intranet? Existem boas práticas a seguir em relação à máquina que realmente assina os certificados. E outros, que podem ou não se aplicar a você.

Além disso, como um armazenamento de CA interno seria configurado para usuários? Depois de aceitar um certificado, você saberá se ele muda ... o que me leva de volta às boas práticas que envolvem a máquina que realmente as assina (por exemplo, assine e desconecte-o).

É útil ter sua própria CA interna, se você a gerenciar corretamente. Por favor, forneça mais informações.

O problema com um certificado auto-assinado é que os clientes geralmente emitem avisos sobre a não verificação. Dependendo das configurações de segurança, alguns podem bloqueá-lo completamente.

Se isso é puramente uma necessidade interna, por que usar https instaed de http?

Pessoalmente, eu ficaria com http ou compraria um certificado barato (eles não são tão caros).