несколько сервисов с одним и тем же самозаверяющим сертификатом

Question

У меня есть приложение для интрасети WCF, над которым я работаю и которое будет контролировать / контролировать 150 клиентов. Кошерно ли создавать самозаверяющий сертификат и устанавливать этот же сертификат на каждом из 150 клиентов?

Мне нужна защита между клиентом и сервером, но у меня не будет поддержки аутентификации от контроллера домена и др.

Есть ли подводные камни в использовании одного сертификата на всех этих клиентах?

Answer 1

Подводный камень в том, что вы не сможете различить их, если они не передадут какую-либо другую форму личности вместе с запросом. Кроме того, если один из них скомпрометирован, вам, по сути, придется отключить всю службу, поскольку все они используют один и тот же сертификат. ИМХО, вы хотите создать сертификат клиента для каждого партнера, чтобы избежать этих проблем.

Вопрос, который у меня возникает, заключается в следующем: почему вы просто не используете безопасность транспорта (т.е. SSL) вместо безопасности сообщений, если все, что вас волнует, - это защита связи и отсутствие идентификации?

Answer 2

Если сертификат скомпрометирован, вам необходимо отозвать его, сгенерировать новый и установить его на каждом компьютере. Если бы у каждой машины была своя собственная, вам нужно было бы только отозвать ту, которой больше нельзя доверять, сгенерировать новую, а затем установить один раз.

Answer 3

абсолютно нет. Веб-сайты используют один и тот же сертификат для тысяч / миллионов пользователей. Только сервер сможет расшифровать информацию каждого клиента.