Puncte:-2

Creați un certificat autosemnat pentru adresa IP (domeniu personalizat) pe Windows

drapel in

Doresc să creez un certificat autosemnat pentru o adresă IP (nu un domeniu) folosind sistemul de operare Windows.

Apoi vreau să leg acest certificat la API-ul meu, care este găzduit pe IIS pe propriul nostru server. În cele din urmă, vreau să partajez o copie a certificatului meu autosemnat clienților mei, care vor consuma API-ul meu, astfel încât aceștia să poată stabili o conexiune sigură de încredere cu API-ul meu

Poate cineva să sfătuiască cum se face?

Lex Li avatar
drapel vn
Fie înveți cum să folosești PowerShell, fie folosești un instrument precum Jexus Manager, https://docs.jexusmanager.com/tutorials/self-signed.html#background Dar reține că folosirea adreselor IP ca nume comune este dăunătoare pentru întreținere (ceea ce dacă adresele IP se schimbă?), iar să le ceri clienților tăi să folosească certificate autosemnate este, de asemenea, rău pentru securitate (de ce ar trebui să aibă încredere în ceva nesigur?).
drapel in
de ce este rău să le cer clienților mei să aibă încredere în certificatul meu autosemnat? in ce risc ii pune?
Lex Li avatar
drapel vn
Un certificat comercial de la o autoritate de certificare din lumea reală este obligatoriu în multe configurații de afaceri, https://en.wikipedia.org/wiki/Certificate_authority Un certificat autosemnat de la dvs. nu are toate aceste caracteristici și protecție.
drapel in
Cele două caracteristici principale ale certificatelor SSL pe care le cunosc sunt: ​​1) securizarea comunicării între două părți, astfel încât o terță parte să nu aibă acces la informațiile care sunt schimbate și 2) validarea identității serverului pentru clienții lor, astfel încât nimeni să nu poată pretinde că este serverul și să pună mâna pe datele pe care clientul intenționează să le partajeze cu serverul. Înțeleg că a le cere clienților mei să-mi instaleze certificatul autosemnat este neconvențional și că este cu siguranță mai bine să folosești un certificat emis de o autoritate de certificare de încredere. Totuși, nu știu de ce?
drapel in
Găsesc că îmi permite să îndeplinesc cele două condiții (menționate mai sus), cu doar bataia suplimentară de a le cere clienților mei să instaleze manual certificatul meu autosemnat pe lista lor de CA de încredere pe sistemele lor. Vă rog să spuneți care sunt riscurile exact pe care le expun clienților mei, cerându-le să-mi instaleze certificatul autosemnat (emis domeniului meu), care ar trebui să le permită doar să stabilească o conexiune sigură cu serverul meu?
Martin avatar
drapel kz
Ar trebui să te uiți ca „hei, uite, o terță parte de încredere a validat identitatea serverului meu, chiar vorbești cu mine, nu cu un atacator”. Dar dacă creați singur un CA pentru a vă verifica identitatea, clientul dumneavoastră pierde această asigurare. Un atacator poate face aceiași pași: să creeze un CA, să semneze un certificat de server și să spună clientului să aibă încredere în CA-ul său - iar clientul nu poate face diferența între CA "valid" sau CA atacatorului...

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.