Регистрация Войти
Рейтинг:-2
avatar Server

Создайте самозаверяющий сертификат для IP-адреса (настраиваемый домен) в Windows

флаг in
Mimina

Я хочу создать самозаверяющий сертификат для IP-адреса (не домена) с использованием ОС Windows.

Затем я хочу привязать этот сертификат к моему API, который размещен в IIS на нашем собственном сервере. Наконец, я хочу поделиться копией моего самозаверяющего сертификата с моими клиентами, которые будут использовать мой API, чтобы они могли установить доверенное безопасное соединение с моим API.

Может кто-нибудь посоветовать, как это сделать?

46
0 + 0
iis
Lex Li avatar
флаг vn
Lex Li
Либо вы научитесь использовать PowerShell, либо используете такой инструмент, как Jexus Manager, https://docs.jexusmanager.com/tutorials/self-signed.html#background. если IP-адреса меняются?), и просить ваших клиентов использовать самозаверяющие сертификаты также плохо для безопасности (почему они должны доверять чему-то небезопасному?).
1
Ответить
флаг in
Mimina
почему плохо просить моих клиентов доверять моему самозаверяющему сертификату? какому риску это их подвергает?
0
Ответить
Lex Li avatar
флаг vn
Lex Li
Коммерческий сертификат от реального центра сертификации является обязательным во многих бизнес-установках, https://en.wikipedia.org/wiki/Certificate_authority. В самоподписанном сертификате отсутствуют все эти функции и защита.
0
Ответить
флаг in
Mimina
Я знаю две основные функции SSL-сертификатов: 1) защитить связь между двумя сторонами, чтобы третья сторона не имела доступа к информации, которой обмениваются, и 2) подтвердить подлинность сервера для своих клиентов, чтобы никто не мог притвориться сервером и завладеть данными, которыми клиент намеревался поделиться с сервером. Я понимаю, что просить своих клиентов установить мой самозаверяющий сертификат нетрадиционно, и что определенно лучше использовать сертификат, выданный доверенным центром сертификации. Однако я не знаю, почему?
0
Ответить
флаг in
Mimina
Я обнаружил, что это позволяет мне выполнить два условия (упомянутых выше), только с дополнительной проблемой, связанной с просьбой к моим клиентам вручную установить мой самозаверяющий сертификат в их список доверенных ЦС в их системах. Не могли бы вы сообщить, какие именно риски я подвергаю своих клиентов, прося их установить мой самозаверяющий сертификат (выданный для моего домена), который должен позволить им только установить безопасное соединение с моим сервером?
0
Ответить
Martin avatar
флаг kz
Martin
Вы должны смотреть на это так: «Эй, смотрите, третья сторона, которой вы доверяете, подтвердила личность моего сервера, вы действительно разговариваете со мной, а не со злоумышленником». Но если вы сами создадите ЦС для подтверждения своей личности, ваш клиент потеряет эту гарантию. Злоумышленник может выполнить те же действия: создать ЦС, подписать сертификат сервера и попросить вашего клиента доверять его ЦС — и клиент не сможет отличить ваш «действительный» ЦС от ЦС злоумышленника...
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.