1

複数のサーバーが相互に信頼関係を持つことができるシステムに取り組んでいます。これらの関係は、X.509 証明書認証を使用したサーバー間接続で確立されます。

サーバーには、クライアントがサーバーの ID を検証するために使用する独自のサーバー証明書があります (ブラウザー クライアントや Web サーバーとまったく同じです)。

私の質問: 2 つのサーバー (A と B) の間で信頼関係を確立するとき、サーバー A がサーバー B と通信するときに、サーバー A のサーバー証明書をクライアント ID として使用することに関して、本質的に安全でない、または問題があることはありますか? 実際には、これには、サーバー A のサーバー証明書をサーバー B のトラスト ストアにインストールすること、およびその逆が含まれます。サーバー A と B のサーバー ID をクライアント ID として使用するよりも、サーバー A と B に個別のクライアント側 ID を作成する方が何らかの理由で優れていますか?

個人的には、これに問題は見られず、実際には高レベルの観点から理にかなっています.サーバーAは、サーバーBに接続しているクライアントです.

4

1 に答える 1

2

2 つのサーバー (A と B) の間で信頼関係を確立するとき、サーバー A がサーバー B と通信するときに、サーバー A のサーバー証明書をクライアント ID として使用することに関して、本質的に安全でない、または問題があることはありますか?

いいえ、ピアが相互に認証できれば問題ありません。

実際には、これには、サーバー A のサーバー証明書をサーバー B のトラスト ストアにインストールすること、およびその逆が含まれます。

実際には、証明書は集中化された CA からインストールされます。パブリック/コマーシャルまたは内部のいずれかです。エンド エンティティの自己署名証明書は避けてください。自己署名証明書は、証明書管理のオーバーヘッドを発生させ、失効チェックを許可しません (ピア証明書を失効させる必要がある場合)。

于 2015-03-17T20:18:23.430 に答える