我读到自签名证书会遇到性能问题(例如,here),但究竟是哪些?我猜这可能与撤销检查有关,但不确定。
答案 0 :(得分:6)
我不同意the article使用MakeCert.exe创建的证书时的“性能问题”。
如果创建的证书中不包含任何吊销信息,则因撤销而不会导致性能损失。可能唯一特定于使用自签名证书的方法如下:您应该在Root证书存储区(受信任的根证书颁发机构)中包含自签名证书,或者在AuthRoot中更好所有将使用它的计算机上的证书存储(第三方根证书颁发机构) 。在此之后,在大多数情况下,您的自签名证书将不再像VeriSign根证书那样值得。因为这种方式只能在一家公司内部使用,并且很难在具有大量独立客户端计算机的企业方案中使用。
顺便说一下,可以创建一个关于MakeCert.exe实用程序的简单PKI。例如,您可以创建迷你CA的自签名根证书:
MakeCert.exe -pe -ss MY -a sha1 -cy authority -len 4096 -e 12/31/2020 -r
-n "CN=My Company Root Authority,O=My Company,C=DE" MyCompany.cer
然后您可以创建一个额外的子证书
MakeCert.exe -pe -ss MY -a sha1 -len 2048 -e 12/31/2020 -eku 1.3.6.1.5.5.7.3.2
-n "CN=My Name,O=My Company" -sky exchange
-is MY -in "My Company Root Authority"
您可以在eku交换机中选择不同的增强型密钥用法OID,具体取决于您要使用证书的方案。
要在AuthRoot证书存储区(第三方根证书颁发机构)中添加迷你CA的根证书,我们可以使用CertMgr.exe实用程序
CertMgr.exe -add -c MyCompany.cer -s -r localMachine AuthRoot
如果您的方案需要,您还可以创建和使用Certificate Revocation List File。
有关更多示例,请参阅How to: Create Temporary Certificates for Use During Development和其他How to Articles。