(发布到ServerFault而不是StackOverflow,因为我认为它比编程代码更关注OS配置)。
我目前负责维护连接到第三方Web服务的系统。此Web服务需要客户端身份验证证书,这很公平,但是Web服务本身由由自行创建的根证书颁发机构证书(与创建客户端身份验证证书的根相同)创建的自签名证书来保护。
仅将当前服务证书添加到已知受信任列表中,而忽略自己创建的权限证书就足够了,不幸的是,服务证书会定期更改,因此必须信任权限证书以确保应用程序在以下情况下不会中断:服务证书已更新。
但是,根据我在运行Web服务的公司的经验,我不(个人)信任CA证书-如果它泄漏到Web上也不会令我感到惊讶-并且令人担忧,CA证书没有对密钥使用的限制它(虽然可能是外部MITM攻击,尽管是远程的,但我更担心用于代码签名的证书泄漏)。
是否可以告诉我的计算机(当前是服务器箱,但在将来的普通台式机客户机箱中)信任CA,但仅针对给定的一组键用法和一小部分可能的使用者名称(域名) )?
该服务器当前为Windows Server 2012 R2,但它可以在Linux机器上运行-尽管台式机都是Windows机器。
3
至少在Linux上,许多应用程序都可以选择指定对等CA证书的位置,因此您可以将此CA的范围限制为仅使用它的应用程序。@CryptoGuy的答案在Linux上也适用,其中没有Windows特定的内容。
—
Edheldil'5
@Edheldil:尽管它是特定于实现的-例如Windows支持X.509名称约束的时间比NSS或GnuTLS更长。
—
grawity
您的系统连接到该第三方服务;是否可以将系统上的客户端代码配置为信任该服务的CA,以使其仅针对该客户端代码而不是针对整个系统完成?
—
卡斯塔利亚(Castaglia)'16
@Castaglia我可以编写自己的证书验证代码,该代码验证代码独立于主机系统运行,但是我无法控制其他客户端软件使用的系统范围证书服务。
—
戴