(โพสต์ไปที่ ServerFault แทน StackOverflow เพราะฉันรู้สึกว่ามันเกี่ยวข้องกับการกำหนดค่าระบบปฏิบัติการมากกว่าโค้ดโปรแกรม)
ขณะนี้ฉันรับผิดชอบการบำรุงรักษาระบบที่เชื่อมต่อกับบริการเว็บของบุคคลที่สาม เว็บเซอร์นี้ต้องการใบรับรองการรับรองความถูกต้องของลูกค้าซึ่งมีความยุติธรรม แต่เว็บเซอร์นั้นปลอดภัยด้วยใบรับรองที่ลงนามด้วยตนเองซึ่งสร้างขึ้นโดยใบรับรองสิทธิ์การรับรองรูทที่สร้างขึ้นด้วยตนเอง - รูทเดียวกันที่สร้างใบรับรองรับรองความถูกต้องของลูกค้า
จะเพียงพอที่จะเพิ่มใบรับรองบริการปัจจุบันลงในรายการที่เชื่อถือได้เท่านั้นและไม่สนใจใบรับรองสิทธิ์ที่สร้างขึ้นเอง แต่น่าเสียดายที่ใบรับรองบริการเปลี่ยนเป็นประจำดังนั้นใบรับรองสิทธิ์จะต้องเชื่อถือได้เพื่อรับรองว่าแอปพลิเคชันจะไม่หยุดทำงานเมื่อ มีการต่ออายุใบรับรองบริการ
อย่างไรก็ตามฉันไม่เชื่อ (โดยส่วนตัว) เชื่อถือใบรับรอง CA จากประสบการณ์ของฉันกับ บริษัท ที่ใช้บริการเว็บ - มันจะไม่ทำให้ฉันประหลาดใจถ้ามันจะรั่วไหลไปที่เว็บ - และกังวลว่าใบรับรอง CA ไม่มีข้อ จำกัด การใช้งานที่สำคัญ มัน (ในขณะที่การโจมตี MITM ภายนอกนั้นมีความเป็นไปได้แม้ว่าจะอยู่ในระยะไกล
เป็นไปได้หรือไม่ที่ฉันจะบอกคอมพิวเตอร์ของฉัน (ปัจจุบันคือกล่องเซิร์ฟเวอร์ แต่ในกล่องไคลเอนต์เดสก์ทอปธรรมดาในอนาคต) เพื่อไว้วางใจ CA แต่สำหรับชุดคีย์การใช้งานที่กำหนดและชุดชื่อเรื่องที่เป็นไปได้เล็ก ๆ )?
เซิร์ฟเวอร์ในปัจจุบันคือ Windows Server 2012 R2 แต่อาจทำงานบนกล่อง Linux ได้แม้ว่าเครื่องเดสก์ท็อปจะเป็นกล่อง Windows ทั้งหมด