我读到自签名证书存在性能问题(例如 here ),但具体是哪些?我猜这可能与撤销检查或其他但不确定有关。
最佳答案
我不同意the article关于使用 MakeCert.exe 创建的证书的“性能问题” .
如果创建的证书中不包含吊销信息,则不会因吊销而造成性能损失。可能唯一特定于使用自签名证书的事情如下:您应该将自签名证书包含在 Root
证书存储(受信任的根证书颁发机构)中,或者更好地包含在 AuthRoot
证书存储(第三方根证书颁发机构)在将使用它的所有计算机上。在此之后,在大多数情况下,您的自签名证书将不再像 VeriSign 根证书那样有值(value)。因为这种方式只能在一个公司内部实现,很难在独立客户端多的企业场景中使用。
顺便说一下,可以根据 MakeCert.exe 创建一个简单的 PKI效用。例如,您可以创建迷你 CA 的自签名根证书:
MakeCert.exe -pe -ss MY -a sha1 -cy authority -len 4096 -e 12/31/2020 -r
-n "CN=My Company Root Authority,O=My Company,C=DE" MyCompany.cer
然后你可以创建一个额外的子证书
MakeCert.exe -pe -ss MY -a sha1 -len 2048 -e 12/31/2020 -eku 1.3.6.1.5.5.7.3.2
-n "CN=My Name,O=My Company" -sky exchange
-is MY -in "My Company Root Authority"
您可以在eku
开关中选择不同的增强型 key 使用OID,具体取决于您要使用证书的场景。
要在 AuthRoot
证书存储(第三方根证书颁发机构)中添加您的迷你 CA 的根证书,我们可以使用例如 CertMgr.exe效用
CertMgr.exe -add -c MyCompany.cer -s -r localMachine AuthRoot
您还可以创建和使用 Certificate Revocation List File如果您的方案需要它。
参见 How to: Create Temporary Certificates for Use During Development及其他How to Articles更多示例。
关于wcf - WCF 场景中的自签名证书性能,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4095297/