我们正在开发一个网站,该网站不仅供我们的内部网内部使用,而且还可供通过 VPN 访问它的一个客户端在外部使用。
就证书而言,最好的选择是什么?
我是否需要从证书颁发机构获取一个证书,或者我们可以使用自签名的证书?
答案1
最好的办法是自行签名,因为它仍处于开发阶段。
为什么?
证书颁发机构可能会受到攻击,从而成为更容易攻击的目标。您的服务器也可能受到攻击,但可能性较小。但这是另一个话题。
我仍然应该这样做,即创建一个公司 CA(如果您还没有),针对它签署证书,并将该 CA 推送到您的域,以便它受到信任,人们不会因“不安全连接”错误而烦恼。唯一的外部客户端也可以将此 CA 添加到其受信任的 CA 列表中。
希望这对您有帮助。