イントラネット用に独自のCAを作成する場合の問題は何ですか？

独自の内部を実行することに何の問題もありません証明する機関;私が関わった大企業の大多数は、独自の内部CAを持っています。

利点

• 十分な数のシステムとユーザーで償却すると、証明書の名目コストはほぼゼロになります。外部CAから証明書を購入する場合、これが当てはまることはありません。
• 所有権を単一のグループではなく内部グループに割り当てることができるため、証明書の有効期限と更新の管理がはるかに簡単になります。
• *。test.company.comなどのサブドメインのワイルドカード証明書を作成するなど、外部CAで行うのが非常に困難または費用がかかる、あらゆる種類のきちんとしたことを行うことができます。テスト目的で奇妙な無効な証明書を作成する（SHA-1 2017、512ビットRSAなど）

欠点

• CAの実行は非常に困難です。独自の内部CAの場合、実際のCAのレベルのセキュリティ制御を行う必要はありませんが、それでも非常に複雑です。
• 作成および実行できるユーザーCAは確かに安くはありません。少なくとも米国では、暗号化やPKIの知識が豊富な人が6つの数字を作成することが期待できます。
• CAを用意するだけでなく、システムを構築する必要もあります。証明書を要求して失効を処理するためのWebサイト/ API、証明書更新の通知システム、ルート証明書をプッシュするためのインストールパッケージなど。これを多く管理するソフトウェアパッケージを購入することもできますが、それは確かにそうではありません。

十分に大規模な企業の場合、これらすべての外部証明書の購入コストとそれに伴う柔軟性の喪失が、独自のCAを作成するのに十分な重大な問題になる転換点になります。 。

それ以外の場合は、警告を発した人たちに同意します。中小企業の大多数にとって、独自のCAを実行するのは経済的ではありません。問題を専門とする会社と取引するだけです。年間10ドルのtsは、適切に実行された内部CAをセットアップするコストと比較すると、盗みです。

概要

信頼ではなく、コストです。

コメント

• 50,000証明書は年間10ドルで、7桁の合計になるのに366日しかかかりません。内部CAの設定に投資することで、コストを大幅に削減でき、その専門知識を上に売り込むこともできます。
• @AndrewLeach、中小規模の企業の場合、すべての従業員+すべての（仮想）サーバー+すべてのアプリケーションの合計が50,000になることはおそらくないでしょう。
• @KaspervandenBergが証明書の数について述べたことに加えて、年間5万の証明書を生成する内部CAには、おそらく数人の従業員が必要になります。維持し、発展させる。そのため、'中堅（または大規模）企業またはすでにその専門知識を社内に持っている可能性のあるテクノロジー企業以外のCAを見つけることはめったにありません。
• Joe Average 'のWindowsネットワークの3番目の欠点：サーバーにCAの役割をインストールすると、LDAPにWebサイトと再起動ポイントがすぐに追加されます。信頼されたルートCAは、GPOごとに迅速に実行できます
• @HagenvonEitzen、すべてがルートCAを信頼する必要があるWindows以外のデバイスがある場合、課題が山積し始めます。モバイルテストデバイス、独自の証明書ストアを備えたプログラム（Firefox、Java、特にLinuxサーバーなど）、Mac。私の会社で'見つけたのは、多くの人が'内部CAがあることを理解しておらず、 "無効な証明書"メッセージを手動で受け入れます。