1

複数の WCF サービス (それぞれが異なるクライアント アプリケーションの個別のファサード) を公開するアプリケーションがあります。現在、サービスごとに個別の証明書 (内部証明書サーバーから作成) を管理しています (これは、dev、qa、staging、prod などの複数の環境に対して行います)。

MSDNは、この証明書が通信の暗号化に使用されるだけでなく、「クライアントに対してサービスを認証する」ためにも使用されることを示唆しているようです。同じサーバー上であっても、あるサービスが別のサービスと区別されるように、個別の証明書を使用する必要があることを示唆しています。ただし、すべてのサービスで (少なくとも環境ごとに) 同じ証明書 (基本的にはアプリケーション レベルの証明書) を「ごまかして」使用できるように感じます。サービスが適切なアプリケーションからのものであることを保証します。

では、これはどの程度の「チート」なのでしょうか? ルールを曲げすぎていませんか? 明らかに、それは私のアプリケーションであり、私のサービスなので、私がやりたいことを自由に行うことができます。

4

1 に答える 1

1

クライアント証明書の認証またはデジタル署名/検証に証明書を使用せず、サーバー側でのみSSL暗号化に証明書を使用する場合は、同じ証明書を使用しても問題ありません。

クライアントは、それぞれのトラストストア/証明書ストアで「信頼」する証明書を少なくします。

ただし、セキュリティ要件でサーバー側のSSL以外のもののみが必要な場合は、サーバーが相互に偽装できないように、個別の証明書を使用することをお勧めします。

本番環境用の証明書と、テスト、qa、および開発環境で共有できる別の証明書を用意することをお勧めします。非本番サーバーには自己署名証明書を使用することもできます。

于 2013-02-07T21:35:32.897 に答える