对于具有多个应用服务器和多个客户端的系统,我想介绍相互身份验证以及TLS提供的其他安全保护。
服务器和客户端可能位于不同的网络上,也可能位于同一网络上。
每个实体(客户端或服务器)都有自己的密钥库,用于存储其私钥/公钥对以及包装公钥的X.509证书。但是,此时证书是自签名的。因此,其他通信实体不会对其进行验证。经过一番研究,我看了一些解决方案:
这是我第一次获得安全性。在您认为有效的解决方案中,您推荐哪一种?
由于
答案 0 :(得分:1)
我为您提供了便于阅读的选项。
您的选项4具有与第一个类似的安全和管理细节。即您的选项范围缩小为自己与第三方CA服务。虽然您可以从CA权威机构购买自己的CA证书,但这需要花费很多钱。但CA销售人员根据具体情况决定了“多少”。
就管理复杂性而言,我将它们按以下顺序排列(首先是最简单的): 3,1,2,4
在选项1,2,4中,您必须管理您的证书,这需要知道PKI及其安全程序(除了纯粹的技术,您需要确保私钥受到保护)以及用于证书生成和管理的软件(对于大多数活动来说,openssl等都是不够的,很可能你需要编写自己的代码来生成证书。
拥有OCSP服务器也是一个好主意,如果选项1,2,4,你必须自己运行。