V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
fdsfsdfsdf3334
V2EX  ›  问与答

如果我要实现 ssl 证书的双向认证,在 StartSSL 申请的证书可以吗

  •  
  •   fdsfsdfsdf3334 · 2014-08-04 10:40:57 +08:00 · 3509 次点击
    这是一个创建于 3770 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目前公司的oa系统,我按照网上的教程,自己生成ca 然后生成服务器客户端证书,实现了双向认证,但是这样的话 浏览器会显示 这个证书不可靠


    我想到了一个办法,就是把我自己的ca加入系统的信任,但这样有一点担心,就是担心服务器被人黑了,对方拿走我的ca,那么 可能会给公司带来麻烦, [比如,公司的同事都习惯了浏览器显示不信任,所以万一ca被人替换,大家可能都还不知道 ] ,其实我也不知道这个担心是否多余


    另外,我想,如果用StartSSL的证书, 来做双向认证,那么浏览器就不会显示不可靠,也就应该不会被坏人替换, 但我不知道用StartSSL给我的证书,是否可以做双向认证呢,安全吗,

    公司对安全方面要求高

    比如什么双向认证,密码 各方面要求都高, 大家还有什么办法提高各方面的安全性吗

    或者可以分享一些你所了解的安全知识吗
    4 条回复    2014-09-25 15:41:07 +08:00
    julyclyde
        1
    julyclyde  
       2014-08-04 11:40:29 +08:00
    双向认证有两种:要求对方出示我方指定的CA签发的证书、要求对方出示我方指定的证书
    你可以选前一种
    ryd994
        2
    ryd994  
       2014-08-05 15:10:19 +08:00 via Android
    ca密钥不要放服务器,放在安全的机器上,除了签证书你平时用不到的,如果今后不想再签,直接销毁也是可行的。
    服务器上只放服务器密钥和证书还有CA证书,这样即使攻破,只要发revoke就行(具体怎么revoke我还不是很熟练,就不误导了)
    客户机上当然要装CA证书,装了证书就没事了。注重安全的话,装个证书不算费事吧……
    最有效还是限制内网访问
    密码什么的,真要安全就一次一密的令牌

    双向认证我觉得没必要,做网页登录足够啦。双向认证要每个客户签一个证书才有意义
    fdsfsdfsdf3334
        3
    fdsfsdfsdf3334  
    OP
       2014-08-05 15:24:18 +08:00
    @julyclyde
    @ryd994 非常感谢两位的回复

    我也是为了更大的安全,所以才用双向认证,这样的话,,没有证书的人,连最基本的页面也看不到,只有证书正确了,才可以访问,然后再试用帐户密码登陆, 当员工离职,销毁她的证书和帐户即可,

    不过我现在苦恼的是, 有什么东西,可以让我很方便的给新来的员工生成证书,没找到这样的工具

    (*^__^*) 嘻嘻
    me2you
        4
    me2you  
       2014-09-25 15:41:07 +08:00
    这些都不是事儿
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3794 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:21 · PVG 18:21 · LAX 02:21 · JFK 05:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.