Аутентификация сертификата в хранилище ключей

Question

У меня есть некоторые секреты, которые я хотел бы сохранить в Azure Key Vault. Я знаю, что могу использовать идентификатор клиента и сертификат для аутентификации Key Vault вместо использования клиента и и тайные следующие действия:

1. Получить или создать сертификат
2. Associate сертификат с Azure приложением AD
3. Добавить код в приложение, чтобы использовать сертификат

Большинство примеров использования либо MakeCert или New-самозаверенный сертификат для создания сертификата. Является ли самоподписанный сертификат проблематичным в этом случае для производственного приложения? Это только для приложения для аутентификации с помощью Azure Key Vault, и это не то, что клиент когда-либо увидит в своем браузере.

Если в этом случае сертификат самоподписанного сертификата по-прежнему неодобрен, тогда вы покупаете сертификат у доверенного лица в том же процессе, что и при покупке сертификата SSL/TLS? Это даже тот же тип сертификата?

Answer 1

Существует (с некоторыми оговорками), по сути, неправильное использование самозаверяющего сертификата. Нет никакой разницы с чистой криптографической перспективой между купленным и самозаверяющим сертификатом. Единственное различие заключается в том, что приобретенный сертификат был подписан одним или несколькими органами сертификации (ЦС), которые распространяют свои открытые ключи в большинстве браузеров/операционных систем и т. Д. Это означает, что пользователь может иметь гораздо большую уверенность в том, что приобретенный сертификат является законным, в то время как они должны совершить скачок веры, чтобы принять самозаверяющий сертификат.

В вашем случае, однако, вы, похоже, можете управлять клиентским приложением, и фактические пользователи никогда не должны видеть этот сертификат. Поэтому вы можете использовать самозаверяющий сертификат без каких-либо проблем, если вы принимаете меры предосторожности для предотвращения атак типа «человек в середине» (т. Е. Кто-то генерирует собственный самозаверяющий сертификат и притворяется вами). Одним из наиболее эффективных способов сделать это является получение сертификата. По сути, вы отправляете открытый ключ для своего сертификата с помощью клиентского приложения, и ваше клиентское приложение будет принимать сертификаты, которые предоставляют этот открытый ключ. Это делает намного сложнее для злонамеренного актера (который не украл ваш сертификат), чтобы преформировать атаку «человек в середине».

TL; DR: До тех пор, пока вы предпринимаете шаги для предотвращения атак типа «человек в середине», и вы держите свой сертификат в безопасности, нет ничего плохого в использовании самоподписанного и самогенерируемого сертификата для обеспечения безопасности, - обращенные друг к другу соединения.