Certificate
如何購買用於簽署數字負載的 X.509 證書
我的軟體正在呼叫第三方 Web 服務 (SOAP) 並使用 WS-Security 進行客戶端身份驗證,使用客戶端證書和消息內容的數字簽名。供應商要求我發送給他們的證書具有源自受信任機構(Verisign、Thawte 等)的信任鏈 - 他們不允許我進行自簽名。
當您訪問出售證書的網站時,大多數只有 3 個選項:
- SSL 證書
- “程式碼簽名”證書
- “文件簽名”證書
“文件簽名”似乎最接近我的需要,但網站上的許多文獻都談到瞭如何使用它們來簽署 Word 和 PDF 文件,以獲得額外的安全層,以便實際擁有人工“簽名”文件。
有什麼方法可以購買專門用於自動二進制有效負載/消息簽名的證書,該證書將與 WS-Security 一起使用並且不受速率限制?(例如,有些網站需要時間戳和“打電話回家”才能跟踪您簽署了多少文件)
這似乎是 B2B 場景的常見要求,但在文件方面幾乎沒有。
從可能足夠好的客戶端身份驗證證書開始。你有兩個選擇:
購買電子郵件證書。這些也是客戶端證書,允許簽名並且很便宜。
從 Letsencrypt 獲取免費的伺服器證書。這些帶有以下擴展,可能足以滿足您的案例:
X509v3 extensions: X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 Basic Constraints: critical
這些唯一的挑戰是您需要擁有一個有效的域來請求它們。好消息是證書是免費的