网络钓鱼问题。
我有一个tcp服务器应用程序,它使用tls / ssl的证书并存储在pkcs#12文件中。假设CA安装在网络的某个位置并且可以访问,通常的做法是从CA(一次)以编程方式(C#)请求ssl证书并将其写入pkcs#12文件以供服务器使用。
这是正常的做法,还是更有可能的情况是从Thawte或Versign等CA购买证书,特别是该客户,并预先创建pkcs#12文件,并作为安装过程。
答案 0 :(得分:4)
我认为这是争论可以采取任何一种方式的情况。
如果您需要管理大量网站,编程证书请求和签名有其优点,如果出现可怕的错误(例如,如果有人劫持或收听您的初始请求),则会失去人工中介验证。在某些时候,需要以编程方式或作为人类操作员进行信任决策。
This paper by Bruce Schneier更详细地讨论了CA架构的潜在风险,这些风险支持PKI cryptography的信任决策。我相信这涵盖了许多与您的问题相关的案例以及您可能没有的,并且应该考虑的设计。