c# - 向证书颁发机构申请证书

Question

网络钓鱼问题。

我有一个 tcp 服务器应用程序，它使用 tls/ssl 证书并存储在 pkcs#12 文件中。假设 CA 安装在网络上的某个位置并且可以访问，以编程方式 (C#) 从 CA 请求 ssl 证书(一次)并将其写入 pkcs#12 文件以供服务器使用是否是正常做法。

这是正常做法，还是更可能的情况是从 Thawte 或 Versign 等 CA 购买证书，专门为该客户购买证书，并预先创建 pkcs#12 文件，并作为安装过程。

Answer 1

我认为在这种情况下，论点可以任意选择。

如果您需要管理大量站点，程序化证书请求和签名有其优点，如果出现严重错误(例如，如果有人劫持或窃听您的初​​始请求)，则无法进行人工验证.在某些时候，需要以编程方式或作为人工运算符(operator)做出信任决定。

This paper by Bruce Schneier更详细地讨论了支持 PKI cryptography 的信任决策的 CA 体系结构的潜在风险.我相信这涵盖了许多与您的问题和设计相关的案例，您可能没有，但应该考虑。