Score:-2

สร้างใบรับรองที่ลงนามด้วยตนเองสำหรับที่อยู่ IP (โดเมนที่กำหนดเอง) บน windows

ธง in

ฉันต้องการสร้าง Self-Signed Certificate สำหรับที่อยู่ IP (ไม่ใช่โดเมน) โดยใช้ windows OS

จากนั้นฉันต้องการผูกใบรับรองนี้กับ API ซึ่งโฮสต์บน IIS บนเซิร์ฟเวอร์ของเราเอง สุดท้ายนี้ ฉันต้องการแบ่งปันสำเนาใบรับรองที่ลงนามด้วยตัวเองกับลูกค้าของฉัน ซึ่งจะใช้ API ของฉัน เพื่อให้พวกเขาสามารถสร้างการเชื่อมต่อที่ปลอดภัยที่เชื่อถือได้กับ API ของฉัน

ใครช่วยแนะนำวิธีการทำเช่นนั้นได้บ้าง

Lex Li avatar
vn flag
ไม่ว่าคุณจะเรียนรู้วิธีใช้ PowerShell หรือใช้เครื่องมืออย่าง Jexus Manager https://docs.jexusmanager.com/tutorials/self-signed.html#background แต่โปรดจำไว้ว่าการใช้ที่อยู่ IP เนื่องจากชื่อสามัญนั้นไม่ดีต่อการบำรุงรักษา (อะไร หากที่อยู่ IP เปลี่ยนไป) และการขอให้ลูกค้าของคุณใช้ใบรับรองที่ลงนามด้วยตนเองก็ส่งผลเสียต่อความปลอดภัยเช่นกัน (ทำไมพวกเขาควรเชื่อถือสิ่งที่ไม่ปลอดภัยด้วย)
in flag
เหตุใดจึงไม่ดีที่จะขอให้ลูกค้าเชื่อถือใบรับรองที่ลงนามด้วยตนเองของฉัน มันทำให้พวกเขามีความเสี่ยงอะไรบ้าง?
Lex Li avatar
vn flag
ใบรับรองเชิงพาณิชย์จากผู้ออกใบรับรองในโลกแห่งความเป็นจริงเป็นสิ่งจำเป็นในการตั้งค่าธุรกิจมากมาย https://en.wikipedia.org/wiki/Certificate_authority ใบรับรองที่ลงนามด้วยตนเองจากคุณขาดคุณสมบัติและการป้องกันทั้งหมด
in flag
คุณสมบัติหลักสองประการของใบรับรอง SSL ที่ฉันทราบคือ: 1) รักษาความปลอดภัยการสื่อสารระหว่างสองฝ่าย เพื่อไม่ให้บุคคลที่สามเข้าถึงข้อมูลที่กำลังแลกเปลี่ยน และ 2) ตรวจสอบตัวตนของเซิร์ฟเวอร์กับไคลเอ็นต์ของตน เพื่อไม่ให้ใครแอบอ้างว่าเป็นเซิร์ฟเวอร์และเก็บข้อมูลที่ไคลเอนต์ต้องการแบ่งปันกับเซิร์ฟเวอร์ ฉันเข้าใจว่าการขอให้ลูกค้าติดตั้งใบรับรองที่ลงนามด้วยตนเองนั้นไม่ปกติ และแน่นอนว่าควรใช้ใบรับรองที่ออกโดย Trusted Certificate Authority อย่างไรก็ตาม ฉันไม่รู้ว่าทำไม?
in flag
ฉันพบว่ามันช่วยให้ฉันบรรลุสองเงื่อนไข (ที่กล่าวถึงข้างต้น) โดยมีเพียงความยุ่งยากเพิ่มเติมในการขอให้ลูกค้าของฉันติดตั้งใบรับรองที่ลงนามด้วยตนเองของฉันด้วยตนเองไปยังรายการ CA ที่เชื่อถือได้บนระบบของพวกเขา คุณช่วยบอกฉันหน่อยได้ไหมว่าอะไรคือความเสี่ยงที่ฉันใส่ไคลเอนต์ของฉันโดยการขอให้พวกเขาติดตั้งใบรับรองที่ลงนามเองของฉัน (ออกให้ในโดเมนของฉัน) ซึ่งควรอนุญาตให้พวกเขาสร้างการเชื่อมต่อที่ปลอดภัยกับเซิร์ฟเวอร์ของฉันเท่านั้น
Martin avatar
kz flag
คุณควรมองว่า "เฮ้ ดูสิ บุคคลที่สามที่คุณไว้วางใจได้ยืนยันตัวตนของเซิร์ฟเวอร์ของฉัน คุณกำลังพูดกับฉันจริงๆ ไม่ใช่กับผู้โจมตี" แต่ถ้าคุณสร้าง CA ด้วยตัวเองเพื่อยืนยันตัวตน ลูกค้าของคุณจะสูญเสียการรับประกันนี้ ผู้โจมตีสามารถทำขั้นตอนเดียวกันได้: สร้าง CA ลงนามในใบรับรองเซิร์ฟเวอร์ และบอกลูกค้าของคุณให้เชื่อถือ CA ของเขา - และลูกค้าจะไม่สามารถแยกความแตกต่างระหว่าง CA ที่ "ถูกต้อง" ของคุณหรือ CA ของผู้โจมตี...

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา