向证书颁发机构申请证书
本文关键字:证书 机构 | 更新日期: 2023-09-27 18:30:04
网络钓鱼问题。
我有一个tcp服务器应用程序,它使用tls/ssl的证书,并存储在pkcs#12文件中。假设CA安装在网络上的某个位置并且可以访问,那么正常做法是从CA(一次)以编程方式(C#)请求ssl证书,并将其写入pkcs#12文件供服务器使用吗。
这是正常的做法吗,还是更可能的情况是从Thawte或Versign等CA购买证书,特别是为该客户购买证书,并预先创建pkcs#12文件,然后作为安装过程的一部分进行安装。
我认为在这种情况下,参数可以任意选择。
如果你需要管理大量网站,程序化证书请求和签名有其优点,但如果出现严重错误(例如,如果有人劫持或监听你的初始请求),则会失去人工中介的验证。在某种程度上,需要通过编程或作为人工操作员来做出信任决策。
Bruce Schneier的这篇论文更详细地讨论了PKI密码学信任决策的CA体系结构的潜在风险。我相信这涵盖了许多与您的问题和设计相关的案例,您可能没有,也应该考虑这些案例。