我們有一個後端服務器,可爲在iOS,Windows 8,Windows Phone 8和Android上啓動的多平臺應用提供服務。我們希望在生產中使用盡可能少的證書越好(最好只有一個),以達到以下目的:與客戶端應用程序 使用相同的服務器SSL證書以實現多種目的
除了服用該證書是由一個共同的受信任的根頒發機構頒發的護理,是否有可能阻止一個證書被使用SI任何其他障礙同時爲所有這些?這是一種可行的可能性,還是有必要爲上述目的每個方面使用一個證書?
加布裏埃爾我猜有一個問題。主要是HTTPS證書私鑰不能被祕密編碼,這種證書包含*.crt和*.key文件不安全。當你想要在某些服務中對自己或服務器進行身份驗證時,例如Windows電話推送就像你已經列出的一樣,需要爲你的私鑰創建散列,帶有祕密的別名或密碼。什麼使你至少使用兩個不同的證書。
第二件事是使用證書的目的是驗證頒發者並驗證用戶/服務提供者。 HTTPS由信任的CA向用戶Hey this is trusted website You should not be afraid passing sensitive data through the service顯示的ssl證書向用戶Hey this is trusted website You should not be afraid passing sensitive data through the service顯示,並且用於認證的證書僅僅是說Hey its me I am authorized to use this application
這些證書的目的以及不同證書的自身應該是不同的。使用相同的cert執行類似操作的行爲已列出原因必要性漏洞並且非常不推薦
我不確定我是否理解第一點:取決於您希望在簽署請求中使用證書的狀態,你從根權限獲得不同的證書格式?至於第二點,對於我們來說這是一個可以接受的折衷辦法,一個封裝了流量加密和身份驗證的「超集」證書,我不確定它是否真的是一個突破性的安全漏洞。 – 2013-04-24 08:44:26
你是對的,可以爲加密和認證使用相同的'cert'。我說有可能創建一個密碼來解密用來驗證證書的私鑰。要驗證HTTPS流量,這種操作沒有意義,但在簽署請求的情況下,其強烈建議,因爲我發佈了 – Mithrand1r 2013-04-24 08:54:51
我意識到如果在IIS(用於HTTPS)和在IIS中都可以使用相同的證書,我仍然不太明白應用程序代碼授權給其他(推送)服務。我不能只從IIS中導出它,並將它與密碼一起嵌入到.pfx文件中?我想我必須多讀幾句,然後回去...... – 2013-04-24 09:00:54