IBM MobileFirst證書鎖定最佳實踐

Question

我們正在開發IBM MobileFirst 7.1混合移動應用程序，並計劃使用證書鎖定功能。

我們可以找到在IBM網站上關於SSL證書寄希望於IBM MobileFirst網站信息：Here is a post in the IBM Knowledge Center和Here is a tutorial和its sample project/code

所有這些資源都是偉大的，但我有一些問題：

• 是否有當我的應用程序是混合應用程序時，對Android和iOS使用本機證書鎖定實施的任何優勢？
• 如果我使用混合環境代碼，SSL證書是否會包含在wlapp中，然後可以使用直接更新進行更新？
• 在WindowsPhone 8（Silverlight環境的混合應用程序）上混合實施證書鎖定工作嗎？
• 在教程視頻中，我已經看到，當SSL固定爲ON，並且我們在服務器外部調用一個URL（例如google）時，它會失敗。這是否意味着如果我啓用證書鎖定，Google地圖將無法加載？
• 當SSL證書被吊銷時會發生什麼？
• SSL證書過期時會發生什麼情況？
• 在更新我們的服務器SSL證書時，什麼是最好的SSL更新策略，以保持證書固定正常工作和應用程序？

請指點

Answer 1

是否有任何優勢，使用Android和iOS的原生證書釘住實現時我的應用程序是一個混合的應用程序？

您可以隨時編寫自己的代碼來進行固定或使用第三方Cordova插件。但這些都不能保證您使用所提供的功能獲得的支持級別。請注意，您僅限於提供的功能（例如，MobileFirst的證書鎖定限於單個目標主機而不是多個）。

如果我使用混合環境代碼，SSL證書是否會包含在wlapp中，然後可以使用直接更新進行更新？

您需要在客戶端和服務器都有證書。您不需要使用直接更新來更新客戶端上的證書。

它的工作方式是，你只需要更新服務器上的證書，但你必須保持的情況下，相同的公鑰你更新

是否在混合執行證書釘住工作WindowsPhone 8（Silverlight環境的混合應用程序）？

如文檔中提到的，證書釘扎只支持：「原生的iOS，Android原生，以及混合iOS或混合Android」的

在教程視頻，我已經看到，當SSL釘扎ON，並且我們在服務器之外調用一個URL（例如google）它會失敗。這是否意味着如果我啓用證書鎖定，Google地圖將無法加載？

固定僅與綁定到MobileFirst Server而不綁定到其他服務的請求有關。

當SSL證書被吊銷時會發生什麼？

綁定到MobileFirst Server的請求將失敗。

當SSL證書過期時會發生什麼？

綁定到MobileFirst Server的請求將失敗。

在更新我們的服務器SSL證書時，什麼是最好的SSL更新策略來保持證書固定正常工作和應用程序？

因爲您只需要更新服務器的證書，所以您只需確保繼續使用與以前相同的公鑰。