J'ai lu que les certificats auto-signés souffrent de problèmes de performances (par exemple, here), mais lesquels exactement? Je peux deviner ceci peut être lié aux contrôles de révocation ou à quelque chose mais pas sûr.Performances des certificats autosignés dans les scénarios WCF
Je ne suis pas d'accord avec the article sur les "problèmes de performance" dans l'utilisation des certificats créés par MakeCert.exe.
Si aucune information de révocation ne sera incluse dans le certificat créé, aucune perte de performance ne peut être due à la révocation. La seule chose spécifique à l'utilisation du certificat auto-signé est la suivante: vous devez inclure le certificat auto-signé dans le magasin de certificats Root (Autorités de certification racines de confiance) ou mieux dans le magasin de certificats AuthRoot (certificat racine tiers). Autorités) sur tous les ordinateurs qui vont l'utiliser. Après cela, votre certificat auto-signé ne vaut pas plus que le certificat racine VeriSign dans la plupart des scénarios. De cette façon est possible seulement à l'intérieur d'une entreprise et peut être difficile utilisé dans les scénarios d'entreprise avec beaucoup d'ordinateurs clients indépendants. Par ailleurs, il est possible de créer une PKI simple par rapport à l'utilitaire MakeCert.exe. Par exemple, vous pouvez créer le certificat racine auto-signe de votre mini-CA:
MakeCert.exe -pe -ss MY -a sha1 -cy authority -len 4096 -e 12/31/2020 -r
-n "CN=My Company Root Authority,O=My Company,C=DE" MyCompany.cer
vous pouvez créer un certificat d'enfant supplémentaire
MakeCert.exe -pe -ss MY -a sha1 -len 2048 -e 12/31/2020 -eku 1.3.6.1.5.5.7.3.2
-n "CN=My Name,O=My Company" -sky exchange
-is MY -in "My Company Root Authority"
Vous pouvez choisir différents OID améliorés d'utilisation de clé dans le commutateur eku dépend des scénarios dans lesquels vous souhaitez utiliser le certificat.
Pour ajouter le certificat racine de votre mini-CA dans le magasin de certificats AuthRoot (Tierce Autorités de certification racine), nous pouvons par exemple utiliser CertMgr.exe utilitaire
CertMgr.exe -add -c MyCompany.cer -s -r localMachine AuthRoot
Vous pouvez également créer et utiliser Certificate Revocation List File si elle avait besoin pour votre scénario.
Voir How to: Create Temporary Certificates for Use During Development et d'autres How to Articles pour plus d'exemples.
Je suis également surpris par les problèmes de performance dans l'article référencé par l'OP. "Ces certificats ont aussi des problèmes de performances, certaines opérations cryptographiques peuvent fonctionner lentement lorsqu'elles sont utilisées.Les certificats émis par une véritable autorité de certification n'ont pas ce problème, et c'est un problème connu.": Je serais intéressé par des liens ou plus info qui suggère que c'est vrai et c'est un problème connu en effet. – Bruno
@Bruno: Si vous regardez à l'intérieur de "Certificats émis à partir d'une véritable autorité de certification", vous verrez ** rien ** spécifique. Par exemple, vous pouvez exporter le certificat «VeriSign Trust Network» ou le certificat «Microsoft Root Authority» auto-signé dans% TEMP% \ Verisign.cer et utiliser 'certutil.exe -dump% TEMP% \ Verisign.cer' ou' certutil.exe -asn% TEMP% \ Verisign.cer' pour examiner son contenu. Vous trouverez ** rien ** qui en fait "une véritable autorité de certification". Les certificats doivent correspondre à X.509 et n'ont pas de caractéristiques cachées. Si vous placez un certificat dans le magasin de certificats 'Root', vous aurez le même. – Oleg
@Oleg, en effet, je suis d'accord avec vous, c'est [cet article] (http://weblogs.asp.net/cibrax/archive/2006/08/08/Creating-X509-Certificates-for-WSE-or-WCF .aspx) que je questionne.(Pour autant que je sache, la seule chose qui différencie certains grands certificats d'AC des autres est les certificats EV, qui sont codés en dur dans les navigateurs, mais cela n'a probablement rien à voir avec ce problème, en particulier parce que l'entrée du blog a été écrite en 2006 apparemment, et les certificats EV n'existaient pas à l'époque.) – Bruno