iT邦幫忙

0

該買哪種加密憑證呢?

請教各位先進:
由於公司內部有許多設備/主機的憑證都是採用設備自簽的,所以每次連線時都會跳出警告訊息,因此有想過採購憑證來處理(不考慮Windows CA)。
雖然爬了文章,但還是有點不是很清楚。我擔心的是,萬用憑證雖然好用,可是一旦外洩了所有相關設備的憑證就會需要全部更換,若是購買單網域憑證又無法滿足所有設備/主機使用不同FQDN的需求,而多網域若把所有網域加進去費用反而更高。
是否有種方式就是跟公正第三方採購萬用憑證,然後我們作為中繼提供單一憑證給所屬設備/主機使用呢?
或著有其他方式可以滿足這樣的想法呢?

看更多先前的討論...收起先前的討論...
froce iT邦大師 2 級 ‧ 2019-07-23 17:20:41 檢舉
內部網站可以靠AD派自簽憑證吧?
darkhsu iT邦新手 4 級 ‧ 2019-07-23 17:51:01 檢舉
Windows CA不考慮,因為還是會遇到出現警告訊息的狀況(Chrome),要排除需要花太多時間。
harrytsai iT邦新手 4 級 ‧ 2019-07-24 09:53:17 檢舉
我是買兩年的SSL憑證2300元,一個網域而已
angelsu00 iT邦新手 5 級 ‧ 2019-07-24 16:11:57 檢舉
沒有對外開放的設備裝憑證 蠻浪費錢的也不太有意義
有免費的可以用
darkhsu iT邦新手 4 級 ‧ 2019-07-25 09:35:51 檢舉
內部系統會考慮也購買主要是擔心設備內建的自簽憑證相對較不安全,二來是很討厭一直看到錯誤訊息(長官也討厭XD)
1
黃彥儒
iT邦高手 1 級 ‧ 2019-07-23 18:05:56
最佳解答

有的,你可以去使用其他CA提供的PKI服務……這樣你們能為每一台設備去簽發憑證,單價會很低(以前StartCom一年60美金,是隨便簽免錢的)
像下面這幾家(關鍵字是managed pki),不過我覺得比較完價格後,你可能會有其他的決定
https://www.websecurity.symantec.com/zh/tw/pki/managed-pki-service
https://www.globalsign.com/en/managed-pki/
https://www.comodoca.com/pki-manager

darkhsu iT邦新手 4 級 ‧ 2019-07-25 09:44:11 檢舉

感謝您,我會再研究看看

1
浩瀚星空
iT邦大師 1 級 ‧ 2019-07-23 17:18:13

所以是大碗又要便宜的概念?基本上你只能業務洽談處理了。
去找找域名商洽談看看吧。

一般量大的話會有優惠的,但量要真的很大。
要不然免費的証書就用一用吧。每年更換一次也不用太過擔心。
且更換也不一定需要人工處理。

darkhsu iT邦新手 4 級 ‧ 2019-07-23 17:49:54 檢舉

不知道哪段讓您有【大碗又便宜】的想法?
不是不能採購萬用憑證,但重點是擔心外洩不容易管理。
或著您有建議的管理方式?

另外,很多網路設備並無法使用免費憑證的自動更新方式,只能人工處理

如果誤會你的意思我很抱歉,我並不是拿看好戲的心態來跟你說【大碗又便宜】。因為証書的問題我自已也希望能找到【大碗又便宜】的。
主要是看你「多網域若把所有網域加進去費用反而更高」這句為主來覺得你要找便宜的。

至於網路設備無法用免費的自動更新?這點可能是我碰過的設備少,所以不清楚也不確定。至少我用的都是能自動更新的。有些比較機車的都是靠另外寫程式處理的也是對的。

原則上一般來說非對外開放線路我還是會用自簽的方式。當然如果是對外開放。可以的話也可以用單一主域名來處理。這樣在証書上也比較容易購買。只是目前我並不太清楚你的情況是如何,沒辦法給你很好的建議。

darkhsu iT邦新手 4 級 ‧ 2019-07-25 09:43:15 檢舉

可能是我的表達不夠清楚,我也很抱歉。
我的意思是說,若多網域費用比萬用更高,那我不如直接買萬用。
不過這樣也的確是會有要買比較便宜的意思啦...../images/emoticon/emoticon06.gif

手上設備主要是Fortigate、Aruba Controller、HP Switch等,不知道您是否知道自動更新的方式? 可否請教您主要使用的是那些設備?

您的這個建議我有想過,將對外與對內的憑證區隔處理,目前看起來似乎這樣比較容易管理。

0
hsiang11
iT邦研究生 1 級 ‧ 2019-07-23 20:38:37

很多公司反而花不起錢 憑證都是有就好
我是覺得重要的服務至少要買 尤其牽涉到個資和機密傳輸
很多公司都是買主體別名的方式
不過一開始買時要調查好要買哪些名稱
例如ithome 除了第一筆萬用 還是有其他固定使用的
DNS Name=*.ithome.com.tw
DNS Name=owa.ithome.com.tw
DNS Name=mail.ithome.com.tw
DNS Name=autodiscover.ithome.com.tw
DNS Name=www.ithome.com.tw
DNS Name=ithome.com.tw

看更多先前的回應...收起先前的回應...
darkhsu iT邦新手 4 級 ‧ 2019-07-25 09:45:18 檢舉

感謝您的意見~

darkhsu iT邦新手 4 級 ‧ 2020-02-05 10:19:17 檢舉

抱歉,回來挖文
之前回覆給長官後就沒有下文,我想說他應該聽到要花錢就放棄了,但最近因為其他部門有需要,所以又要我研究= =

重新爬了文,發現我對於多網域憑證(Multi-Domain,SAN)與萬用網域(wildcard)還是有點模糊

看起來,萬用網域是只能提供給【當前次網域】內的所有網站,所以若申請abc.com的憑證,abc.com、*.abc.com、www.abc.com、mail.abc.com、ftp.abc.com等這些都可以用,但ms1.mail.abc.com就不行

而多網域則是沒有限制,只要是別名中的FQDN都可以,所以www.abc.com、www.xzy.com這些都可以用,不過依照您提的例子我看了一下ithelp的憑證,他的別名有您提到的這些,看起來像是多網域憑證,但還有DNS Name=*.ithome.com.tw這個,這也是可以放在多網域憑證當中嗎?

另外,若我已申請了abc.com的萬用憑證,我還可以另外申請例如www.abc.com的單一憑證,或www.abc.com、mail.abc.com這樣的多網域憑證嗎?

hsiang11 iT邦研究生 1 級 ‧ 2020-02-05 15:23:47 檢舉

ithome的買法看起來是發給整個*.ithome.com.tw
所以應該是wildcard比較貴
比較便宜的買法可以去找看看 應用在主要的服務
尤其MAIL
如果公司主管就是不想花錢 那也看開吧
救不回來的公司都是這樣的

darkhsu iT邦新手 4 級 ‧ 2020-02-06 12:29:16 檢舉

感謝
目前看起來是會花錢啦
只是很阿砸,它部門的需求就是需求,自己的人需求就是要求太多
/images/emoticon/emoticon10.gif

我要發表回答

立即登入回答