SSL Certificaten binnen Internet Information Server 6

verisign en dat soort clubs zijn wel de enige certificaten waarvan de cert root authority in de meeste browsers zijn ingebakken. voor 20 euro lever ik je een certificaat, maar of je daar gelukkig van wordt

zelf gebruik ik een intern certificaat (gratis) als een website alleen voor medewerkers van dat bedrijf is en schrijf ik een howto-tje, zodat ze niet schrikken van de cert popup en hoe ze een certificaat kunnen installen om het trusted te maken.
Als het een publiek toegankelijk site is (of speciaal voor bepaalde klanten) laat ik een verisign certificaat aanschaffen (300 euro per jaar geloof ik).

kijk ff hier: https://certificaat.kpn.com/index_ssi.html. dit is een verisign certificaat.

Prive gebruik ik zelf http://cert.startcom.org/

Gratis

[ Voor 14% gewijzigd door Vunzz op 28-07-2005 17:16 . Reden: gratis ]

grappig, maar die staat dus niet als trusted in ie, dus kan je net zo goed een eigen gemaakt certificaat gebruiken.

PinkRoccade is geloof ik ook een bedrijf wat officiele certificaten mag verstrekken

Vunzz schreef op donderdag 28 juli 2005 @ 17:15:
Prive gebruik ik zelf http://cert.startcom.org/

Gratis

selfssl.exe

ook gratis, zit in de iis6 resourcekit (ook gratis)

alleen is ie niet trusted maar ach das ook niet perse nodig

alleen is ie niet trusted maar ach das ook niet perse nodig

Precies, het is maar waar je het voor nodig hebt.

Op m'n werk gebruiken we al enige tijd de certificaten van RapidSSL, zij hebben ook een trusted root en worden dus door de meeste browsers vertrouwd, het grootste voordeel is de prijs, de goedkoopste kost $49,- per jaar.

Voor hun productoverzicht: http://www.rapidssl.com/ssl-certificate/ssl-products.html

Erik schreef op donderdag 28 juli 2005 @ 19:05:
[...]
selfssl.exe

ook gratis, zit in de iis6 resourcekit (ook gratis)

alleen is ie niet trusted maar ach das ook niet perse nodig

Lees jij het topic wel?

Magoed... ik kocht ze wel eens bij Thawte, ook een grote speler vergelijkbaar met Verisign.. $199 per jaar.

KPN daar koop ik al helemaal niets meer.. Die mensen zijn niet eens telefonisch bereikbaar, alleen per email, en als je veel geluk hebt, bellen ze of mailen ze je terug..

Ik ga eens kijken bij die rapidssl..

[ Voor 38% gewijzigd door axis op 29-07-2005 11:25 ]

Verwijderd schreef op vrijdag 29 juli 2005 @ 09:52:
Bedankt, ben alweer wat wijzer.

Hoe kun je zien welke CA roots in je browser staan cq. ondersteund worden?

certificates mmc opstarten en zoeken naar de trusted root certificates authorities kijken.

overigens ik gebruik alleen als trusted certificaat als ik vind dat het nodig is. Je kan niet een untrusted certificaat gebruiken als je klanten(toekomstige klanten) op de site verwacht, ik vind dat zeer slordig staan, maar ik heb zeker wel eens zelf een cert gemaakt, simpelweg omdat de directeur 300 euro per jaar ook te duur vond (cheap bastard )

Verwijderd schreef op vrijdag 29 juli 2005 @ 11:29:
[...]


certificates mmc opstarten en zoeken naar de trusted root certificates authorities kijken.

overigens ik gebruik alleen als trusted certificaat als ik vind dat het nodig is. Je kan niet een untrusted certificaat gebruiken als je klanten(toekomstige klanten) op de site verwacht, ik vind dat zeer slordig staan, maar ik heb zeker wel eens zelf een cert gemaakt, simpelweg omdat de directeur 300 euro per jaar ook te duur vond (cheap bastard )

* Equator eensh is met iis6_rulez

Publieke secure website: Neem/koop een certificaat van een trusted partij (Verisign)
Private (eigengebruik) secure website: Bak je eigen certificaat. Of koop een goedkopere van een niet trusted partij.

Er zijn zat tools beschikbaar om ssl certificaten te maken.
Openssl onder unix/linux is al te gebruiken.

Ik wil ook nog een handige manier vinden om voor klanten een Root CA te spelen, en de klant te kunnen voorzien van een server en client certificaat.

CyberJ schreef op vrijdag 29 juli 2005 @ 11:57:
[...]


Ik wil ook nog een handige manier vinden om voor klanten een Root CA te spelen, en de klant te kunnen voorzien van een server en client certificaat.

Da's niet zo moielijk. Zet een CA Root op. Publiceer je Public Key van je Root en zorg dat MS die in IE opneemt.
Het probleem zit hem niet in de Root CA, het probleem zit hem in de aansprakelijkheid. Wat als iemand door jouw onzorgvuldigheid een certificaat aanmaakt met jouw Root Private Key ?

Niet aan beginnen dus. Of een private root CA opzetten voor 1 bedrijf (kun je ook geld voor vragen) of gewoon bij Verisign oid kopen. Aansprakelijkheid voor geleden schade is niet leuk......

DaRealRenzel schreef op vrijdag 29 juli 2005 @ 12:05:
[...]


Da's niet zo moielijk. Zet een CA Root op. Publiceer je Public Key van je Root en zorg dat MS die in IE opneemt.
Het probleem zit hem niet in de Root CA, het probleem zit hem in de aansprakelijkheid. Wat als iemand door jouw onzorgvuldigheid een certificaat aanmaakt met jouw Root Private Key ?

Niet aan beginnen dus. Of een private root CA opzetten voor 1 bedrijf (kun je ook geld voor vragen) of gewoon bij Verisign oid kopen. Aansprakelijkheid voor geleden schade is niet leuk......

* Equator is enigzins op de hoogte van de risico's en de correcte manier van het maken danwel verspreiden van certificaten.

Het betreft overigens certificaten die niet in de store bij IE worden gezet, maar op tokens geplaatst moeten worden om zo in 3d party software te gebruiken.

En ja, voorzichtigheid is geboden. I know

KoeKk schreef op vrijdag 29 juli 2005 @ 08:03:
Op m'n werk gebruiken we al enige tijd de certificaten van RapidSSL, zij hebben ook een trusted root en worden dus door de meeste browsers vertrouwd, het grootste voordeel is de prijs, de goedkoopste kost $49,- per jaar.

Voor hun productoverzicht: http://www.rapidssl.com/ssl-certificate/ssl-products.html

Wij gebruiken ook al een tijdje een paar certificaten van RapidSSL (voorheen FreeSSL) en zijn er heel tevreden over. Een stuk netter en betrouwbaarder dan zelf CA spelen en de eerste browser die ze niet standaard ondersteunt moet ik nog tegenkomen. IE, Firefox, Opera, Safari en Konqueror doen het in ieder geval probleemloos.

LeGato23 schreef op donderdag 28 juli 2005 @ 17:48:
PinkRoccade is geloof ik ook een bedrijf wat officiele certificaten mag verstrekken

PinkRoccade beheert alleen het CovCert Root Certificaat, maar mag geen certificaten uitdelen. Het geeft wel certificaten uit van de GovCert Root, maar daarvoor moet je toch een procedure van de overheid volgen. Trouwens, particulieren krijgen hier geen Server certificaat van, hooguit ind e toekomst een Persoonscertificaat (identificatie van jezelf).

http://cacert.org

Gratis, werkt met het web-of-trust systeem dat we kennen van PGP.
Men is bezig om het op te nemen in een aantal browsers.
Op What The Hack is morgenavond een signing party.
http://wiki.whatthehack.org/index.php/CAcert