Cuando se habla de seguridad, todo este material SSL autofirmado no tiene nada en común con la seguridad. Para implementar la configuración SSL adecuada para la red interna, debe:
- Cree su propio servidor de CA (dependiendo de la plataforma, se pueden usar diferentes productos. Por ejemplo, en Windows puede usar Servicios de certificados de Active Directory, en Linux puede usar software de CA como EJBCA). El certificado de CA será autofirmado
- Proporcione la mejor seguridad para su servidor de CA: acceso físico y remoto estricto al servidor.
- Distribuya el certificado de CA raíz autofirmado al almacén de confianza en todos los clientes afectados
- Utilice esta CA para emitir certificados a clientes y servidores web
- Mantenga la información de revocación de estos certificados (el servidor de CA publicará periódicamente las CRL)
La razón es - separación de preocupaciones y seguridad. El servidor web es por defecto menos seguro. Hay más posibilidades de que la clave privada se filtre desde el servidor web, ya que no puede garantizar una seguridad adecuada debido a la especialización del servidor web (ser público). Con una CA dedicada, puede proporcionar una mejor seguridad, por lo que menos personas pueden acceder a ella, ya sea física o programáticamente.
Si pierde el certificado SSL, puede revocarlo y emitir uno nuevo. Se requiere una reconfiguración mínima del servidor. No se requiere reconfiguración del cliente. Si usa el certificado de CA en el servidor web, tendrá que volver a crear cada certificado de servidor / cliente y reconfigurarlos todos en el caso de un compromiso clave.