Запрос сертификата в центре сертификации

Фишинговый вопрос.

У меня есть приложение TCP-сервера, которое использует сертификаты для tls/ssl и хранится в файле pkcs#12. Предполагая, что ЦС установлен где-то в сети и доступен, будет ли обычной практикой запрашивать сертификат ssl из ЦС (один раз) программно (C#) и записывать его в файл pkcs#12 для использования сервером.

Будет ли это нормальной практикой, или более вероятным сценарием будет покупка сертификата в ЦС, таком как Thawte или Versign и т. д., специально для этого клиента, предварительное создание файла pkcs#12 и установка как часть процесса установки.


certificate c# certificate-authority
person scope_creep    schedule 04.04.2012    source источник

Ответы (1)


arrow_upward
4
arrow_downward

Я думаю, что это тот случай, когда аргумент может пойти в любом направлении.

Запросы программных сертификатов и подписание имеют свои преимущества, если вам нужно управлять большим количеством сайтов, при потере проверки, опосредованной человеком, если что-то пойдет не так (например, если кто-то перехватит или подслушает ваш первоначальный запрос). В какой-то момент необходимо принять решение о доверии либо программно, либо в качестве оператора-человека.

В этом документе Брюса Шнайера более подробно рассматриваются потенциальные риски для архитектуры ЦС. лежащие в основе решений о доверии для криптографии PKI. Я считаю, что это охватывает многие случаи, имеющие отношение к вашей проблеме и вашему дизайну, которые у вас могут не быть и которые вы должны учитывать.

person MrGomez    schedule 08.04.2012
comment
Мистер Гомес, спасибо за ссылку, но я думаю, что читал эту статью много лет назад. Отличная статья, но я действительно ищу практичный, убедительный, актуальный совет. - person scope_creep; 10.04.2012
comment
@scope_creep Достаточно честно. Опуская все банальности, связанные с управлением сетями доверия и установлением цепочки доверия на всем пути до корня вашей PKI, эта статья и связанные с ней ссылки могут предложить руководство. Пройдя немного вниз по дереву ссылок, я заметил, что автор советовал зарегистрировать запрос в службу технической поддержки Microsoft. Возможно, это стоит сделать, просто чтобы получить конкретный совет, ориентированный на вашу проблему. Удачи! - person MrGomez; 11.04.2012