Я прошел эту статью.
У меня есть вопрос, могу ли я иметь свой экземпляр CA на моем хост-сервере. Это потому, что у меня есть только один сервер и 5 клиентов, которые обращаются к нему. Мне нужна аутентификация на основе сертификатов, но я не могу позволить себе другой сервер CA для этого.
Ссылка говорит о наличии CA-сервера для подписи сертификатов. Могу ли я иметь CA на моем сервере и подписать все открытые ключи оттуда и сохранить его на моем хост-сервере?
Единственная причина держать CA на отдельном хосте - это безопасность.
Если у вас есть только один сервер, кто-то взломавший его, будет иметь доступ только к этому серверу, несмотря ни на что. Но если у вас есть 10 серверов и вы держите закрытый ключ CA на одном из них, то кто-то, взломавший этот сервер, может подписать ключ для доступа ко всем вашим серверам.
Для личного использования это не имеет большого значения. Если вы являетесь единственным администратором этого сервера, вы можете хранить ключи на USB-накопителе или даже полагаться только на собственную ключевую фразу ключа - решать вам, насколько это рискованно.
