En los comentarios a Creando mi propia CA para una intranet varias personas desaconsejan crear su propia CA para una intranet.
Especialmente:
no lo hagas. No Mala idea. Compre certificados firmados por $ 10 CA en su lugar. No seas tu propio CA. No. No. Mala idea: KristoferA
Pero también:
eco "Abandona toda esperanza, vosotros que entras aquí". - Tom Leek
¿Por qué debería uno confiar más en una CA arbitraria que vende certificados por $ 10 que en el propio departamento de TI de la compañía?
(Incluso me inclino a confiar en los certificados firmados por proveedores o clientes 1, 2 más de lo que confiaría en los certificados firmados por las CA raíz comunes).
- ¿Mantener el servidor de CA seguro el problema?
- ¿Es la distribución e instalación de certificados raíz el problema?
- ¿El problema es el RA y / o la distribución de las CRL actualizadas?
- ¿Está restringiendo quién o qué recibe un certificado y quién o qué firma un certificado es un problema?
- ¿Algún otro problema? (Quizás mi conocimiento limitado, y el conocimiento limitado de otros profesionales de TI en general, sobre todos los aspectos esenciales para una CA segura. Por eso, KristoferA , Tom Leek , y otros aconsejan enérgicamente en contra de las "CA caseras".
Probablemente un CA profesional tendrá más experiencia en las primeras tres áreas y podrían hacerlo mejor que cualquier "presumido" que cree su propio CA. Pero aún así, el factor de confianza viene a la mente especialmente para la última parte.
1.) Dado que mi empresa tiene una relación a largo plazo con estos proveedores y clientes.
2.) Restringido a certificados sobre sus propios servidores y empleados.