Защита веб-сервиса с помощью SSL / PKI

Question

Мое требование - защитить веб-сервис REST.После некоторого обсуждения решил пойти с PKI по поводу oauth.Реализация будет на Java.

Теперь у меня есть следующие вопросы:

1. Если я включу SSL на своем веб-сервере, который просто реализует инфраструктуру PKI?

2. Если я реализую то, что упомянуто в этом руководстве , что позаботится обо всем шифровании и дешифровании ?.Как зашифрованные / расшифрованные исходные сообщения, передаваемые между серверами?Или это руководство просто говорит об авторизации клиента и не имеет ничего общего с переданным сообщением?

3. Если мои вышеприведенные предположения неверны, можете ли вы помочь мне понять, все, что мне нужно знать ореализовать эту инфраструктуру?

Answer 1

1. Нет, это не так.Инфраструктура открытых ключей заключается в обработке сертификатов (содержащих открытые ключи) и закрытых ключей.Вам необходимо позаботиться об обмене сертификатами, сроке службы сертификатов, отзыве сертификатов и т. Д. И т. Д. Конечно, большинство из них переходит к центру сертификации, например, Verizon.Даже в этом случае вам необходимо защитить и сделать резервную копию используемого вами закрытого ключа, а также убедиться, что он соответствует имени вашего сервера, и что вы обновляете свой сертификат, когда время истекает.

2. Дапротокол SSL / TLS отвечает за защиту всех передаваемых сообщений на «транспортном уровне».Конечно, вам может потребоваться дополнительная безопасность на уровне приложения (например, для безопасного хранения отправленных сообщений на сервере).В общем, SSL / TLS будет достаточно, и реализация позаботится обо всем этом.Однако вы должны решить, какие наборы шифров SSL вы хотите включить.

3. Хм, я бы посоветовал вам прочитать статьи и книги о PKI и, возможно, некоторые инструкции от CA.Этот вопрос (и на самом деле два других вопроса) не по теме для stackoverflow.Невозможно ответить на это в нескольких предложениях.

Answer 2

1. PKI (Инфраструктура открытых ключей) имеет дело с жизненным циклом сертификата, центром сертификации (внутренним или внешним), политиками сертификатов и тем, как этот сертификат может использоваться.
2. Включение SSL / TLS на веб-сервере обеспечивает безопасное http-соединение (https) вместо обычного http. Включив HTTPS, вы защищаете данные, передаваемые между клиентом и сервером, посредством шифрования.
3. Обратите внимание, что для включения ssl / tls вам необходим сертификат сервера и способ получения сертификата, который заботится об этой инфраструктуре. Мы можем настроить MS PKI или использовать инструмент openssl для создания сертификата для собственных целей, или можем купить его у CA, таких как Verisign, DigiCert и т. Д.
4. Внедрение SSL / TLS обеспечит безопасность данных при передаче, тогда как аутентификация и авторизация все еще необходимы для конечных пользователей.