对于Intranet服务器，您会购买ssl证书还是使用自签名证书？

我们有一个供我们的应用程序使用的Web服务，开发人员需要https连接到该Web服务。由于这是内部Web服务，您会使用自签名证书吗？

我将创建一个本地根CA，然后从中生成SSL证书，而不是自签名证书，以确保所有内部系统都具有根CA's1公用密钥的副本。

以这种方式生成的密钥在普通HTTPS之外有很多用途，它们甚至还可以用于OpenVPN，POP3S，SMTPS等，甚至用于单个SMIME帐户。

为您的组织拥有一个单一的根CA远胜于由公认的CA勒索赎金，CA会对您要为其提供证书的每台服务器收取费用，并在您愿意的情况下敢于向您收取“许可费”将相同的证书放在负载平衡的群集中的多台服务器上。

尝试CAcert。它们是免费的，您只需要安装根目录即可。具有自签名证书的第一步。

如果成本是一个问题，并且您像Denny先生所建议的那样以Windows为中心，请使用Microsoft证书服务并将证书作为默认域GPO的一部分进行部署。您可能需要三个系统，但是可以是VM。您将需要根CA，该根CA仅应用于颁发中间CA的证书。您应该将一个中间CA作为企业CA，然后将第三个中间CA作为“独立” CA，以便可以将证书颁发给非域资产。

如果您有很多客户并且您足够大，则可以考虑从一种第三方解决方案中获取根源，并从从该第三方获得其证书的CA颁发自己的证书。这样，您不必部署CA的证书。例如，GeoTrust提供了一个解决方案。

对于Rapidssl这样的入门证书价格低廉，我可能会购买其中之一，至少在您只需要少量的时候。我认为，为阻止用户被要求接受不受信任的自签名证书而付出的小笔费用是值得的，因为它总是会引起非技术用户的一些问题。

假设您是台式机的Windows域，请在内部设置一个Windows CA，该公司将通过AD自动信任公司中的所有计算机。这样，您就可以向需要的任何内部应用程序颁发证书，而不必购买证书。

通常，是的，我会使用自签名的PEM证书进行此类操作。但是，您的Intranet上的站点有多敏感？对于实际对证书和其他文件进行签名的机器，有一些好的做法可以遵循，这可能适用于您，也可能不适用于您。

另外，如何为用户配置内部CA存储？接受证书后，您将知道它是否会更改..这使我重新回到涉及实际对其进行签名（即签名，然后拔下电源）的机器的良好实践中。

如果管理正确，则拥有自己的内部CA很方便。请提供更多信息。

自签名证书的问题是客户端通常会发出有关未验证证书的警告。根据安全设置，有些可能会完全阻止它。

如果这纯粹是内部需求，为什么还要使用HTTP的https instaed？

就我个人而言，我要么坚持使用http要么买一个便宜的证书（它们并不那么贵）。