Производительность самоподписанных сертификатов в сценариях WCF - PullRequest
Новая
       6

Производительность самоподписанных сертификатов в сценариях WCF

3 голосов
/ 04 ноября 2010

Я прочитал, что самоподписанные сертификаты страдают от проблем с производительностью (например, здесь ), но какие именно?Я могу предположить, что это может быть связано с проверками отзыва или что-то, но не уверен.

1 Ответ

6 голосов
/ 08 ноября 2010

Я не согласен с статьей о "проблемах производительности" при использовании сертификатов, созданных MakeCert.exe .

Если информация об отзыве не будет включена в созданный сертификат, то потеря производительности не может быть вызвана отзывом. Вероятно, единственное, что характерно для использования самозаверяющего сертификата, это следующее: вы должны включить самоподписывающий сертификат в хранилище сертификатов Root (Trusted Root Certification Authorities) или, что еще лучше, в хранилище сертификатов AuthRoot (Third). -Party Root Certificate Authorities) на всех компьютерах, которые будут его использовать . После этого ваш самозаверяющий сертификат в большинстве сценариев не будет более ценным, чем корневой сертификат VeriSign. Конечно, этот способ возможен только внутри одной компании и может быть трудно использован в корпоративных сценариях с большим количеством независимых клиентских компьютеров.

Кстати, можно создать простую PKI для утилиты MakeCert.exe . Например, вы можете создать самозаверяющий корневой сертификат вашего мини-CA: 

MakeCert.exe -pe -ss MY -a sha1 -cy authority -len 4096 -e 12/31/2020 -r 
             -n "CN=My Company Root Authority,O=My Company,C=DE" MyCompany.cer

тогда вы можете создать дополнительный дочерний сертификат 

MakeCert.exe -pe -ss MY -a sha1 -len 2048 -e 12/31/2020 -eku 1.3.6.1.5.5.7.3.2
             -n "CN=My Name,O=My Company" -sky exchange
             -is MY -in "My Company Root Authority"

Вы можете выбрать различные OID расширенного использования ключа в переключателе eku, в зависимости от сценариев, в которых вы хотите использовать сертификат.

Чтобы добавить корневой сертификат вашего мини-ЦС в хранилище сертификатов AuthRoot (сторонние корневые центры сертификации), мы можем использовать, например, CertMgr.exe Утилита 

CertMgr.exe -add -c MyCompany.cer -s -r localMachine AuthRoot

Вы также можете создать и использовать Файл списка отзыва сертификатов , если это необходимо для вашего сценария.

См. Как: создать временные сертификаты для использования во время разработки и другие Статьи для получения дополнительных примеров.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...