当前位置: 文江博客话题详情

WCF场景下的自签名证书性能

发布于 2024-10-01 02:29:53 字数 185 浏览 0 评论 0原文

我读到自签名证书存在性能问题(例如, 此处)但是到底是哪些呢?我猜这可能与撤销检查或其他东西有关,但不确定。

原文

I read that self-signed certificates suffer from performance issues (for example, here) but which ones exactly? I can guess this can be related to revocation checks or something but not sure.

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

欲拥i 2024-10-08 02:29:53

我不同意 关于使用 MakeCert 创建的证书时出现的“性能问题”的文章。 exe。

如果创建的证书中不包含吊销信息,则吊销不会导致性能损失。可能使用自签名证书的唯一特定内容如下:您应该将自签名证书包含在证书存储(受信任的根证书颁发机构)中,或者更好地包含在>AuthRoot 证书存储(第三方根证书颁发机构)在所有将使用它的计算机上。此后,在大多数情况下,您的自签名证书将不再比 VeriSign 根证书更有价值。当然这种方式只能在一个公司内部使用,在拥有大量独立客户端计算机的企业场景中很难使用。

顺便说一下,可以创建一个关于 MakeCert.exe 实用程序。例如,您可以创建迷你 CA 的自签名根证书:

MakeCert.exe -pe -ss MY -a sha1 -cy authority -len 4096 -e 12/31/2020 -r 
             -n "CN=My Company Root Authority,O=My Company,C=DE" MyCompany.cer

然后您可以创建额外的子证书

MakeCert.exe -pe -ss MY -a sha1 -len 2048 -e 12/31/2020 -eku 1.3.6.1.5.5.7.3.2
             -n "CN=My Name,O=My Company" -sky exchange
             -is MY -in "My Company Root Authority"

您可以在 eku 开关中选择不同的增强型密钥使用 OID,具体取决于您使用的场景想使用该证书。

要将迷你 CA 的根证书添加到 AuthRoot 证书存储(第三方根证书颁发机构)中,我们可以使用例如 CertMgr.exe 实用程序

CertMgr.exe -add -c MyCompany.cer -s -r localMachine AuthRoot

您还可以创建和使用 证书吊销列表文件(如果您的方案需要)。

请参阅如何:创建在开发过程中使用的临时证书和其他如何文章了解更多示例。

I disagree with the article about "performance problems" in using of certificates created by MakeCert.exe.

If no revocation information will be included in the created certificate then no performance loss can be because of revocation. Probably the only thing which is specific for using of self-signed certificate is following: you should include the self-signing certificate in the Root certificates store (Trusted Root Certification Authorities) or more better in the AuthRoot certificates store (Third-Party Root Certificate Authorities) on all computers which will use it. After this your self-signing certificate will be not more worth as VeriSign root certificate in the most scenarios. Of cause this way is possible only inside of one company and can be difficult used in the enterprise scenarios with a lot of independent client computers.

By the way it is possible to create a simple PKI with respect of MakeCert.exe utility. For example you can create the self-sign root certificate of your mini CA:

MakeCert.exe -pe -ss MY -a sha1 -cy authority -len 4096 -e 12/31/2020 -r 
             -n "CN=My Company Root Authority,O=My Company,C=DE" MyCompany.cer

then you can create an additional child certificate

MakeCert.exe -pe -ss MY -a sha1 -len 2048 -e 12/31/2020 -eku 1.3.6.1.5.5.7.3.2
             -n "CN=My Name,O=My Company" -sky exchange
             -is MY -in "My Company Root Authority"

You can choose different enhanced key usage OIDs in the eku switch depends from the scenarios in which you want use the certificate.

To add the root certificate of your mini CA in the AuthRoot certificate store (Third-Party Root Certificate Authorities) we can use for example CertMgr.exe utility

CertMgr.exe -add -c MyCompany.cer -s -r localMachine AuthRoot

You can also create and use Certificate Revocation List File if it needed for your scenario.

See How to: Create Temporary Certificates for Use During Development and other How to Articles for more examples.

回复 原文
~没有更多了~

关于作者

若无相欠,怎会相见

暂无简介

0 文章
0 评论
21 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

lioqio

文章 0 评论 0

Single

文章 0 评论 0

禾厶谷欠

文章 0 评论 0

alipaysp_2zg8elfGgC

文章 0 评论 0

qq_N6d4X7

文章 0 评论 0

放低过去

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文