情况就是这样.我正在对应用程序进行更改,但我没有测试环境.有一个QA服务器供测试团队使用,但我宁愿在我的本地机器上测试应用程序(部署对该服务器的更改可能会中断测试人员).我在本地机器上设置了环境,但是有问题.
应用程序从第三方应用程序读取数据.它需要SSL证书才能连接到第三方.
我的问题是,为什么我不能在本地机器上使用QA服务器的SSL证书?
我已经对Stack Overflow进行了粗略的搜索,对我来说,似乎一旦证书从CA发出,任何计算机都可以使用它.我的猜测是我误解了SSL流程的某些部分.
Wil*_*ung 31
SSL证书绑定到实际主机名.如果您拥有"qa.example.com"的SSL证书,则它将无法在名为"dev.example.com"的计算机上运行.
也许这就是你遇到的问题.
bet*_*hmi 23
我假设您所描述的是对远程第三方执行SSL客户端身份验证.您的产品作为客户端启动了与第三方的连接,第三方决定您的证书是否足够好以进行连接.
证书基本上是三件事:
所以...它不仅仅是一个密码,但它最终都是数据.
您是否可以在多个位置安装SSL客户端证书的答案是yes和no.主要取决于第三方系统的安全要求以及您如何存储该私钥.
可以在文件中存储私钥/公钥对和证书 - 一个标准就是PKCS#12.然后通常使用密码保护PKCS12.许多软件工具将允许您创建密钥对,将其存储在PKCS12中,并执行请求和完成第三方证书颁发所需的各种证书协议(我怀疑您的第三方要求您的证书由一个签署可信发行人名单).然后,我看到的每个应用程序服务器都允许您将证书文件配置为客户端证书.
如果这是QA SSL证书的存储方式,那么在您的计算机上安装它时应该没有问题.
这是捕获 - 有时安全策略要求将证书存储在硬件令牌上.这通常是一种安全措施,可以保证只有一个实体可以使用证书.复制软件证书文件在测试环境中运行良好,但对于正在运行的产品安装来说,这是一个非常糟糕的安全实践.如果QA服务器使用硬件令牌,则硬件可能会保护将私钥对复制到另一个位置.如果无法访问私钥对,您将无法向第三方执行SSL请求 - 访问私钥的演示是协议的一部分.
在这种情况下,您需要请求自己的证书和密钥对才能访问第三方 - 除非您的公司提供共享硬件令牌的机制.这并不是完全疯狂 - 一些服务器场就是这样 - 所有服务器都具有配置,可以使用通用的联网HSM(硬件安全模块)并使用密钥对.对于SSL站点证书,这通常是正确的,因此集合中的所有服务器可能看起来都是同一台服务器.诀窍是 - 那种硬件非常高端.如果你正在进行一些快速而肮脏的测试,我认为它不太可能访问那种系统.
我会问一下软件证书,以及你是否有可能获得一份副本.可能有政策原因禁止它......但是安装它们并不难,如果你只是做一些测试,你真的没有冒任何风险.
| 归档时间: |
|
| 查看次数: |
44461 次 |
| 最近记录: |