如果我要实现 ssl 证书的双向认证,在 StartSSL 申请的证书可以吗
fdsfsdfsdf3334 · 2014-08-04 10:40:57 +08:00 · 3390 次点击这是一个创建于 3554 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前公司的oa系统,我按照网上的教程,自己生成ca 然后生成服务器客户端证书,实现了双向认证,但是这样的话 浏览器会显示 这个证书不可靠
我想到了一个办法,就是把我自己的ca加入系统的信任,但这样有一点担心,就是担心服务器被人黑了,对方拿走我的ca,那么 可能会给公司带来麻烦, [比如,公司的同事都习惯了浏览器显示不信任,所以万一ca被人替换,大家可能都还不知道 ] ,其实我也不知道这个担心是否多余
另外,我想,如果用StartSSL的证书, 来做双向认证,那么浏览器就不会显示不可靠,也就应该不会被坏人替换, 但我不知道用StartSSL给我的证书,是否可以做双向认证呢,安全吗,
公司对安全方面要求高
比如什么双向认证,密码 各方面要求都高, 大家还有什么办法提高各方面的安全性吗
或者可以分享一些你所了解的安全知识吗
我想到了一个办法,就是把我自己的ca加入系统的信任,但这样有一点担心,就是担心服务器被人黑了,对方拿走我的ca,那么 可能会给公司带来麻烦, [比如,公司的同事都习惯了浏览器显示不信任,所以万一ca被人替换,大家可能都还不知道 ] ,其实我也不知道这个担心是否多余
另外,我想,如果用StartSSL的证书, 来做双向认证,那么浏览器就不会显示不可靠,也就应该不会被坏人替换, 但我不知道用StartSSL给我的证书,是否可以做双向认证呢,安全吗,
公司对安全方面要求高
比如什么双向认证,密码 各方面要求都高, 大家还有什么办法提高各方面的安全性吗
或者可以分享一些你所了解的安全知识吗
 |
1
julyclyde 2014-08-04 11:40:29 +08:00
双向认证有两种:要求对方出示我方指定的CA签发的证书、要求对方出示我方指定的证书
你可以选前一种 |
 |
2
ryd994 2014-08-05 15:10:19 +08:00 via Android
ca密钥不要放服务器,放在安全的机器上,除了签证书你平时用不到的,如果今后不想再签,直接销毁也是可行的。
服务器上只放服务器密钥和证书还有CA证书,这样即使攻破,只要发revoke就行(具体怎么revoke我还不是很熟练,就不误导了) 客户机上当然要装CA证书,装了证书就没事了。注重安全的话,装个证书不算费事吧…… 最有效还是限制内网访问 密码什么的,真要安全就一次一密的令牌 双向认证我觉得没必要,做网页登录足够啦。双向认证要每个客户签一个证书才有意义 |
 |
3
fdsfsdfsdf3334 OP |
 |
4
me2you 2014-09-25 15:41:07 +08:00
这些都不是事儿
|
Select Language