跟随本指南但是,尚不清楚何时应该为 WSUS 使用公共证书,何时应该使用域证书。
- 这种方式与另一种方式相比有哪些优点和缺点?
- 是否存在需要注意的安全隐患?
答案1
公共证书的主要优点是主机会自动信任它们,而内部域的成员会自动信任内部域证书。但是,您仍然可以手动将内部域签名的证书安装到非域计算机上并让它们信任它。
内部域证书的另一个限制与其内容有关。它们通常包含通过 AD LDAP 提供的 CRL 分发点。这意味着客户端只有在加入内部域并且具有网络连接以与其通信时才能访问 CRL 分发点 (CDP)。请注意,您仍然可以将可公开访问的 CDP 添加到您的证书中,以便任何人都可以通过互联网访问它。如果您要这样做,您需要通过 HTTP 而不是 LDAP 提供它。当然,您还需要负责在面向互联网的 Web 服务器上安全地托管该 CRL。
安全隐患可以归结为以下几点:
- 您是否更信任公共证书而不是内部证书?
- 您的内部域证书的私钥被泄露的可能性是否比公共证书的私钥更大?
答案2
如果您使用由公共(互联网)证书颁发机构签名的证书来保护 HTTPS 连接,则您假设所有托管端点都可以访问互联网,以便执行证书吊销列表 (CRL) 检查。但事实可能并非如此,在这种情况下,它们可能无法下载更新。
我猜想您的大多数端点都将附加到域,因为这是 WSUS 部署的典型配置,即:通过组策略配置的 WSUS。如果是这种情况,由 Intranet CA 签名的证书就可以了。
哦,不,无论哪种方式都没有许可含义。