none
Разница в сертификатах RRS feed

  • Вопрос

  • Объясните пожалуйста раз и навсегда понять разницу. Если я разверну свой Центр Сертификации (CA) в организации и с него буду выписывать сертификаты (допустим для почты Exchange, outlook anywhere). Смогут ли пользователи снаружи,  с любой точки мира заходить на почту без затруднений. Или коммерческие центры сертификации типа Commodo имеют ряд преимуществ. Если да, то какие?

    Если нет разницы, то в чем смысл коммерческих центров сертификации (платить даже небольшие деньги, тратить на это время, списываться и т.п.)?

    Сейчас у нас развернут свой CA (делал не я), но с некоторых телефонов невозможно зайти по ActiveSync (может быть я и ответил на свой вопрос?).


    • Изменено user00431 13 апреля 2018 г. 10:54
    13 апреля 2018 г. 10:49

Ответы

  • Разница простая: сертификатам коммерческих ЦС программы на компьютерах и устройтвах доверяют по умолчанию, а вашему ЦС - нет. Потому что производители программ, ОС, устройств - они предустанавливают корневые сертификаты коммерческих ЦС в качестве доверенных корневых на свои продукты. А сертификат вашего ЦС пользователь должен должен добавлять самостоятельно - а это напрягает громадное большинство пользователей.

    Так что, хотя технически ваш ЦС равен коммерческим ЦС, но коммерческие ЦС равны более, чем ваш ЦС - чисто из-за производителей программ и устройств. Так вот несправедливо устроен мир.


    Слава России!

    • Помечено в качестве ответа user00431 13 апреля 2018 г. 13:09
    13 апреля 2018 г. 10:58
  • А сертификат вашего ЦС пользователь должен должен добавлять самостоятельно - а это напрягает громадное большинство пользователей.

    Скорее это напрягает администраторов CA распространять корневые сертификаты. Пользователям вообще всё равно.

    Так что, хотя технически ваш ЦС равен коммерческим ЦС,

    Это не совсем так. Как раз технически, логически и т.п. коммерческие CA более защищённые, чем стандартные внутрикорпоративные CA

    Или коммерческие центры сертификации типа Commodo имеют ряд преимуществ. Если да, то какие?
    с коммерческими сертификатами проще - заказал, установил - работает. Не нужно думать о резервном копировании, совместимости и прочем.
    • Помечено в качестве ответа user00431 13 апреля 2018 г. 13:09
    13 апреля 2018 г. 11:08
    Модератор
  • На телефоны тоже придётся ставить ручками сертификаты. Тут фишка в том, что какие-то девайсы нормально работают с такими сертификатами, а на каких-то могут быть проблемы. Использование сертификатов от внутреннего ЦС - это бесконечная боль. При каких-либо проблемах подключения вы постоянно будете думать "а не из за сертификата ли это???" - вместо того, чтобы искать реальную проблему. Приобретение коммерческих сертификатов это просто уже современное бизнес требование. Удивляет когда приобретают Exchange/S4B + CAL'ы,а на сертификат денег нет)) Даже если нет денег - можно воспользоваться бесплатными вариантами

    В целом - внутренний ЦС тоже нужен. Эти сертификаты пойдут для внутренних сервисов. А для различных внешних публикаций (ReverseProxy, различные EDGE серверы, всевозможные порталы) - используйте коммерческие сертификаты.



    • Изменено Anikin Alexander 13 апреля 2018 г. 12:35
    • Помечено в качестве ответа user00431 13 апреля 2018 г. 13:10
    13 апреля 2018 г. 12:32

Все ответы

  • Разница простая: сертификатам коммерческих ЦС программы на компьютерах и устройтвах доверяют по умолчанию, а вашему ЦС - нет. Потому что производители программ, ОС, устройств - они предустанавливают корневые сертификаты коммерческих ЦС в качестве доверенных корневых на свои продукты. А сертификат вашего ЦС пользователь должен должен добавлять самостоятельно - а это напрягает громадное большинство пользователей.

    Так что, хотя технически ваш ЦС равен коммерческим ЦС, но коммерческие ЦС равны более, чем ваш ЦС - чисто из-за производителей программ и устройств. Так вот несправедливо устроен мир.


    Слава России!

    • Помечено в качестве ответа user00431 13 апреля 2018 г. 13:09
    13 апреля 2018 г. 10:58
  • А сертификат вашего ЦС пользователь должен должен добавлять самостоятельно - а это напрягает громадное большинство пользователей.

    Скорее это напрягает администраторов CA распространять корневые сертификаты. Пользователям вообще всё равно.

    Так что, хотя технически ваш ЦС равен коммерческим ЦС,

    Это не совсем так. Как раз технически, логически и т.п. коммерческие CA более защищённые, чем стандартные внутрикорпоративные CA

    Или коммерческие центры сертификации типа Commodo имеют ряд преимуществ. Если да, то какие?
    с коммерческими сертификатами проще - заказал, установил - работает. Не нужно думать о резервном копировании, совместимости и прочем.
    • Помечено в качестве ответа user00431 13 апреля 2018 г. 13:09
    13 апреля 2018 г. 11:08
    Модератор
  • Правильно ли я понимаю, пользователь извне заходя на нашу почту по activesync, через мобильный телефон (речь только о телефоне) при первом входе нажимает "Сертификат не является надежным, но вы всё равно хотите продолжить", он нажимает "Продолжить" и в принципе почта работает, сертификат устанавливается сам и здесь можно обойтись даже без распространения сертификата (без политик), так как сертификат установится на телефон после того как пользователь даст согласие. Это есть небольшая преграда, отличие от коммерческого CA, где вопрос о доверии бы не задавался. ?

    Но с outlook anywhere сложнее - нужно действительно установить новый сертификат либо вручную либо через политику, пока человек в офисе (в домене), что бы потом outlook мог связаться с Exchange. Я верно понимаю, что реализация с телефоном дает возможность хотя бы как то связаться с exchange, а с outlook anywhere пока не установишь - не получится. ?

    Или вообще всё запутал.


    • Изменено user00431 13 апреля 2018 г. 12:21
    13 апреля 2018 г. 12:20
  • На телефоны тоже придётся ставить ручками сертификаты. Тут фишка в том, что какие-то девайсы нормально работают с такими сертификатами, а на каких-то могут быть проблемы. Использование сертификатов от внутреннего ЦС - это бесконечная боль. При каких-либо проблемах подключения вы постоянно будете думать "а не из за сертификата ли это???" - вместо того, чтобы искать реальную проблему. Приобретение коммерческих сертификатов это просто уже современное бизнес требование. Удивляет когда приобретают Exchange/S4B + CAL'ы,а на сертификат денег нет)) Даже если нет денег - можно воспользоваться бесплатными вариантами

    В целом - внутренний ЦС тоже нужен. Эти сертификаты пойдут для внутренних сервисов. А для различных внешних публикаций (ReverseProxy, различные EDGE серверы, всевозможные порталы) - используйте коммерческие сертификаты.



    • Изменено Anikin Alexander 13 апреля 2018 г. 12:35
    • Помечено в качестве ответа user00431 13 апреля 2018 г. 13:10
    13 апреля 2018 г. 12:32
  • Ну и да - пора слазить уже с Exchange 2010. Не за горами его похороны)
    13 апреля 2018 г. 12:34
  • Правильно ли я понимаю, пользователь извне заходя на нашу почту по activesync, через мобильный телефон (речь только о телефоне) при первом входе нажимает "Сертификат не является надежным, но вы всё равно хотите продолжить", он нажимает "Продолжить" и в принципе почта работает, сертификат устанавливается сам и здесь можно обойтись даже без распространения сертификата (без политик), так как сертификат установится на телефон после того как пользователь даст согласие. Это есть небольшая преграда, отличие от коммерческого CA, где вопрос о доверии бы не задавался. ?

    зависит от ОС смартфона. Не все могут предложить принять сертификат.
    И сертификат - не установится! Придётся каждый раз принимать этот сертификат.

    Раньше с Outlook тоже можно было просто принимать сертификаты вручную. Как сейчас... Я ж говорю - купил нормальный сертификат - и забыл. Вот и не помню, как Outlook себя ведёт.

    13 апреля 2018 г. 12:35
    Модератор
  • Ну и да - пора слазить уже с Exchange 2010. Не за горами его похороны)
    А что, от этого полегчает? Скорее, наоборот - в Exch2010 сертификат хотя бы для MAPI  не требуется (внутри локалки), а в боле новых - увы.

    Слава России!

    13 апреля 2018 г. 12:41
  • А что, от этого полегчает? Скорее, наоборот - в Exch2010 сертификат хотя бы для MAPI  не требуется (внутри локалки), а в боле новых - увы.

    Я в целом - о продукте)
    13 апреля 2018 г. 12:43
  • Спасибо всем за дискуссию. Многое прояснилось.
    13 апреля 2018 г. 13:08