J'ai lu que les certificats auto-signés souffrent de problèmes de performances (par exemple, here), mais lesquels exactement? Je peux deviner ceci peut être lié aux contrôles de révocation ou à quelque chose mais pas sûr.Performances des certificats autosignés dans les scénarios WCF
Répondre
Je ne suis pas d'accord avec the article sur les "problèmes de performance" dans l'utilisation des certificats créés par MakeCert.exe.
Si aucune information de révocation ne sera incluse dans le certificat créé, aucune perte de performance ne peut être due à la révocation. La seule chose spécifique à l'utilisation du certificat auto-signé est la suivante: vous devez inclure le certificat auto-signé dans le magasin de certificats Root
(Autorités de certification racines de confiance) ou mieux dans le magasin de certificats AuthRoot
(certificat racine tiers). Autorités) sur tous les ordinateurs qui vont l'utiliser. Après cela, votre certificat auto-signé ne vaut pas plus que le certificat racine VeriSign dans la plupart des scénarios. De cette façon est possible seulement à l'intérieur d'une entreprise et peut être difficile utilisé dans les scénarios d'entreprise avec beaucoup d'ordinateurs clients indépendants. Par ailleurs, il est possible de créer une PKI simple par rapport à l'utilitaire MakeCert.exe. Par exemple, vous pouvez créer le certificat racine auto-signe de votre mini-CA:
MakeCert.exe -pe -ss MY -a sha1 -cy authority -len 4096 -e 12/31/2020 -r
-n "CN=My Company Root Authority,O=My Company,C=DE" MyCompany.cer
vous pouvez créer un certificat d'enfant supplémentaire
MakeCert.exe -pe -ss MY -a sha1 -len 2048 -e 12/31/2020 -eku 1.3.6.1.5.5.7.3.2
-n "CN=My Name,O=My Company" -sky exchange
-is MY -in "My Company Root Authority"
Vous pouvez choisir différents OID améliorés d'utilisation de clé dans le commutateur eku
dépend des scénarios dans lesquels vous souhaitez utiliser le certificat.
Pour ajouter le certificat racine de votre mini-CA dans le magasin de certificats AuthRoot
(Tierce Autorités de certification racine), nous pouvons par exemple utiliser CertMgr.exe utilitaire
CertMgr.exe -add -c MyCompany.cer -s -r localMachine AuthRoot
Vous pouvez également créer et utiliser Certificate Revocation List File si elle avait besoin pour votre scénario.
Voir How to: Create Temporary Certificates for Use During Development et d'autres How to Articles pour plus d'exemples.
- 1. Certificats clients dans wcf
- 2. Amélioration des performances WCF
- 3. Comment sécuriser WCF avec des certificats tiers?
- 4. Dans quels scénarios les objets WPF gelés bénéficient-ils grandement des performances?
- 5. Outil de test WCF prenant en charge les scénarios Duplex?
- 6. Optimisation des performances d'un WCF avec netTcpBinding
- 7. Tests WCF puis-je utiliser des certificats générés temporairement?
- 8. Sécurité de transport WCF/MSMQ avec certificats
- 9. Service de réglage des performances WCF
- 10. WCF, certificats auto-signés pour le chiffrement
- 11. Débogage des scénarios JBehave
- 12. Comment configurer WCF pour utiliser les certificats x509 sur Internet?
- 13. scénarios quand utiliser les fermetures
- 14. Comportement des certificats SSL dans Joomla 1.5
- 15. Silverlight WCF avec deux voies certificats de sécurité SSL
- 16. Les certificats WCF ne sont pas définis sur les informations d'identification personnalisées
- 17. Comment améliorer les performances du service Web WCF?
- 18. Performances de l'appel de service Web WCF
- 19. Comment traiter des certificats personnalisés dans HTTPS?
- 20. Améliorer les performances des méthodes
- 21. Performances WCF net.tcp par rapport à namedpipes
- 22. Vérification des dates d'expiration des certificats SSL
- 23. Qui émet des certificats d'horodatage
- 24. Implications des performances des commentaires dans les procédures stockées SQL
- 25. Manipulation utilisateur standard face à des scénarios
- 26. Suivi des performances dans C#
- 27. Comment réutiliser la couche de service dans WCF et scénarios ASP.NET norme
- 28. Quel est l'impact sur les performances de l'utilisation des compteurs de performance WCF (performanceCounters = "ALL")?
- 29. Les objets présentant des fuites sont-ils considérés comme OK dans les scénarios de test?
- 30. Devrais-je utiliser des certificats auto-signés en général? Pour SVN en particulier?
Je suis également surpris par les problèmes de performance dans l'article référencé par l'OP. "Ces certificats ont aussi des problèmes de performances, certaines opérations cryptographiques peuvent fonctionner lentement lorsqu'elles sont utilisées.Les certificats émis par une véritable autorité de certification n'ont pas ce problème, et c'est un problème connu.": Je serais intéressé par des liens ou plus info qui suggère que c'est vrai et c'est un problème connu en effet. – Bruno
@Bruno: Si vous regardez à l'intérieur de "Certificats émis à partir d'une véritable autorité de certification", vous verrez ** rien ** spécifique. Par exemple, vous pouvez exporter le certificat «VeriSign Trust Network» ou le certificat «Microsoft Root Authority» auto-signé dans% TEMP% \ Verisign.cer et utiliser 'certutil.exe -dump% TEMP% \ Verisign.cer' ou' certutil.exe -asn% TEMP% \ Verisign.cer' pour examiner son contenu. Vous trouverez ** rien ** qui en fait "une véritable autorité de certification". Les certificats doivent correspondre à X.509 et n'ont pas de caractéristiques cachées. Si vous placez un certificat dans le magasin de certificats 'Root', vous aurez le même. – Oleg
@Oleg, en effet, je suis d'accord avec vous, c'est [cet article] (http://weblogs.asp.net/cibrax/archive/2006/08/08/Creating-X509-Certificates-for-WSE-or-WCF .aspx) que je questionne.(Pour autant que je sache, la seule chose qui différencie certains grands certificats d'AC des autres est les certificats EV, qui sont codés en dur dans les navigateurs, mais cela n'a probablement rien à voir avec ce problème, en particulier parce que l'entrée du blog a été écrite en 2006 apparemment, et les certificats EV n'existaient pas à l'époque.) – Bruno