私の要件は、REST Webサービスを保護することです。いくつかの議論の末、oauthでPKIを使うことに決めました。実装はJavaで行われます。SSL/PKIを使用したWebサービスの保護
今私は以下の質問を念頭に置いていますか?
私は、PKIインフラストラクチャを実装しているWebサーバーでSSLを有効にしていますか?
this guideに記載されているものを実装すると、すべての暗号化と復号化が行われますか?どのように伝えられた元のメッセージがサーバ間でpasssedされているかは暗号化/復号化されますか?または、このガイドでは、クライアントの承認と、渡されたメッセージとは何の関係もないと話しています。
私の前提が間違っている場合は、このインフラストラクチャの実装について知っておく必要があることを理解してもらえますか?
いや、それはしていません。公開鍵インフラストラクチャは、(公開鍵を保持している)証明書と秘密鍵の取り扱いに関するものです。証明書交換、証明書の有効期間、証明書の失効などを管理する必要があります。もちろん、これらのほとんどはVerizonのような認証局に引き継がれます。それでも、使用している秘密鍵を保護してバックアップし、サーバー名に合っていることを確認し、時間切れになったら証明書を更新する必要があります。
はい、SSL/TLSプロトコルは、「トランスポートレベル」で渡されたすべてのメッセージを保護するという責任を負います。もちろん、アプリケーションレベルでセキュリティを追加する必要があるかもしれません(例えば、サーバーにセキュリティメッセージを安全に保存するなど)。一般に、SSL/TLSで十分であり、実装はそれをすべて処理します。ただし、有効にするSSL暗号スイートを決定する必要があります。
私は、PKIに関する記事や書籍、CAのハウツーを読むことをお勧めします。その質問(と実際には2つの他の質問)は、stackoverflowの話題です。それはいくつかの文でそれに答えることは不可能です。