인트라넷 서버의 경우 시스템 전체에서 신뢰하려는 자체 서명된 인증서를 사용합니다. Firefox에 인증서 예외를 추가했지만 Chrome, 콘솔 애플리케이션, IDE 등에서는 불가능합니다.
이것이 바로 인증서가 시스템 전체에서 신뢰되기를 원하는 이유입니다. 내가 이해한 대로 권장되는 방법은 루트 CA로 설치하는 것입니다.https://blogs.technet.microsoft.com/sbs/2008/05/08/installing-a-self-signed-certificate-as-a-trusted-root-ca-in-windows-vista/
나도 이해한 바와 같이, 이는 자체 서명된 인증서를 제어하는 사람이 이제 위조된 인증서에 서명할 수 있는 루트 기관을 제어한다는 의미입니다.어느내 컴퓨터의 사이트. 이것이 사실인가요? 그렇다면 어떻게 이를 방지할 수 있나요? 잠재적으로 내가 사용하는 모든 서비스가 아니라 단일 인트라넷 서버가 자체 서명되기를 원합니다.
여기서 인트라넷 TLS를 처리하는 데 권장되는 방법은 무엇입니까?
답변1
서버가 귀하의 통제하에 있는 경우:
- 만들기실제루트 CA(예: easy-rsa, Xca 또는 Windows Server CA 역할 포함)
- 자체 서명된 서버 인증서를 사용자 지정 CA에서 발급한 인증서로 교체하세요.
- 방금 발급한 인증서가 실제로 "리프"/"최종 엔터티" 인증서로 표시되어 있는지 확인하세요. "X.509v3 Basic Constraints" 확장을 찾으십시오. 확장이 있어야 하며 "CA: FALSE"라고 표시되어 있어야 합니다.
- 사용자 정의 CA의 루트 인증서를 컴퓨터에 설치합니다.
- 새 인증서를 발급해야 할 때만 액세스할 수 있도록 CA 개인 키를 안전하게 저장하세요.
서버의 인증서에는 "기본 제약 조건: CA: FALSE"가 포함되어 있으므로 자체 키만 사용하여 새 인증서를 발급할 수 없습니다.
(CA를 분리해야 하는 이유는 서버의 자체 서명 인증서를 "신뢰할 수 있는 CA" 폴더에 직접 설치하면 시스템이 기본 제약 조건을 무시할 수 있기 때문입니다. 결국 인증 기관으로 설치됩니다. 분리하면 이러한 문제를 피할 수 있으며, 루트 CA 키를 보호할 수 있기 때문입니다.)
보너스 기능으로, 서버 인증서가 만료되거나 이름이 변경될 때 서버 인증서를 다시 신뢰할 필요가 없습니다. 동일한 루트 CA를 사용하여 새 인증서를 발급하면 됩니다.