请求认证中心的证书

Question

网络钓鱼问题。

我有一个tcp服务器应用程序，它使用tls/ssl的证书并存储在pkcs＃12文件中。假设CA安装在网络的某个地方并且可以访问，那么通常的做法是从CA（一次）以编程方式（C＃）请求ssl证书并将其写出到pkcs＃12文件以供服务器使用。

这是正常的做法，还是更有可能的情况是购买像Thawte或Versign等CA这样的证书，特别是针对该客户，并预先创建pkcs＃12文件并作为部分进行安装的情况的安装过程。

Answer 1

我认为这是一个情况下，参数可以去任何一种方式。

如果您需要管理大量网站，如果某些事情发生严重错误（例如，如果有人在您的初始请求中劫持或侦听），那么程序化证书请求和签名有其优点， ）。在某个时候，需要以编程方式或作为人工操作员进行信任决策。

This paper by Bruce Schneier更详细地讨论了支持PKI cryptography的信任决策的CA体系结构的潜在风险。我相信这涵盖了很多与您的问题和您的设计相关的案例，您可能没有，应该考虑。