イントラネットサーバーの場合、ssl証明書を購入するか、自己署名証明書を使用しますか？

自己署名証明書ではなく、ローカルのルートCAを作成し、そこからSSL証明書を生成して、すべての内部システムにルートCAの公開鍵のコピーがあることを確認します。

この方法で生成されたキーは、プレーンHTTPS以外にも多くの用途があり、個々のSMIMEアカウントでも、OpenVPN、POP3S、SMTPSなどに使用できます。

組織に単一のルートCAを用意することは、証明書を必要とするすべてのサーバーに対してあなたに請求し、必要に応じて「ライセンス料」を請求することを認められたCAによって身代金を要求されるよりもはるかに優れています。負荷分散されたクラスター内の複数のサーバーに同じ証明書を配置します。

CAcertを試す 。それらは無料で、ルートをインストールする必要があるだけです。上記の1つのステップで自己署名証明書を取得します。

コストが問題であり、あなたがWindows中心である場合、Denny氏が示唆するように、Microsoft証明書サービスを使用して、証明書を既定のドメインGPOの一部として展開します。おそらく3つのシステムが必要になりますが、VMにすることもできます。ルートCAが必要です。ルートCAは、中間CAの証明書を発行するためにのみ使用する必要があります。非ドメインアセットに証明書を発行できるように、1つの中間CAをエンタープライズCAとして、3つ目を「スタンドアロン」CAとして用意する必要があります。

多くのクライアントがあり、十分な大きさがある場合は、サードパーティソリューションの1つからルートを取得し、そのサードパーティから証明書を取得するCAから独自の証明書を発行することを検討します。これにより、CAの証明書を展開する必要がなくなります。たとえば、 GeoTrust からの解決策があります。

Rapidsslのような低価格のスターター証明書の場合、少なくとも必要なものがあれば、私はおそらくこれらの1つを購入します。技術者以外のユーザーには常にいくつかの問題が発生するため、信頼できない自己署名証明書の受け入れをユーザーに求めないようにするのは、少額の手数料に見合う価値があると思います。

あなたがデスクトップ用のWindowsドメインであると仮定して、社内のすべてのコンピューターからAD経由で自動的に信頼されるWindows CAを社内でセットアップします。このようにして、証明書を購入しなくても、必要な内部アプリに証明書を発行できます。

通常、はい、そのようなことには自己署名PEM証明書を使用します。しかし、イントラネット上のサイトはどの程度敏感ですか？実際に証明書などに署名するマシンに関して従うべき良い習慣があります。それはあなたに当てはまるかもしれないし、当てはまらないかもしれません。

また、ユーザー用に内部CAストアをどのように構成しますか？証明書を受け入れると、それが変更されたかどうかがわかります。これにより、実際に署名する（つまり、署名してから取り外す）マシンを使用する適切な方法に戻ることができます。

正しく管理すれば、独自の内部CAを持つと便利です。詳細を入力してください。

自己署名証明書の問題は、クライアントが一般に未検証であることについて警告を発することです。セキュリティ設定によっては、完全にブロックするものもあります。

これが純粋に内部の必要性である場合、httpの代わりにhttpsを使用するのはなぜですか？

個人的には、httpを使用するか、安価な証明書を購入します（それほど高価ではありません）。