私はこれでかなり初心者ですので、私に同行してください。私は非.NETクライアントによって消費されるWCFで開発されたWebサービスを持っています。現在私はそれを確保するために探しています。最良の選択肢はWsHttpBindingとX509証明書を使用するという結論に達しました。しかし、証明書を取得することについては、私は少し失われています。 X509はSSL証明書と同じですか?私はそのようなシナリオを得るために探しているはずの最高の証明書は何ですか?X.509証明書を使用したWebサービスのセキュリティ保護。どちらがベストですか?
これらの2があなたに役立つことを希望します。私は以前のプロジェクトでそれを使用しました。 (はい)
http://www.phildev.net/ssl/ssl_talk_uuasc.pdf
http://www.ipsec-howto.org/x595.html
Chrees!
これは理論的に質問に答えるかもしれませんが、回答の重要な部分をここに含め、参照用のリンクを提供することが望ましいでしょう(http://meta.stackexchange.com/q/8259)。 –
あなたは近くです。 SSLはx.509証明書を使用します。 x.509は証明書の標準です。これは、FirefoxがIISによって提示された証明書を理解できるようにするものです。しかし、x.509証明書は、SSLだけでなく数多く使用されています。また、文書への署名、アプリケーションへの署名、鍵交換の安全性などにも使用されます。
SSL(Secure Sockets Layer)は、これらの証明書を使用して安全な通信を行うためのプロトコルで、サービスの識別情報を証明するために使用されます。クライアントがサービスに接続すると、クライアントが信頼する認証局(CA)によって署名された、ドメインにバインドされたx.509証明書が提示されます。ほとんどの場合、Verisgn、GoDaddy、Entrust、または無数の人物のようなサードパーティのCAから購入されます。新しいコメントをもとに編集された
:
それは公共の対面だ場合、あなたは間違いなく、サードパーティCAから証明書を購入したいと思いますVerisignは最大ですが、最も高価です。
SSLと証明書は実際にWebサービスを「安全」にしません。クライアントの通信を保護し、攻撃者があなたを偽装するのを防ぎます。他にもセキュリティ上の懸念があるかもしれません。
私はクライアントを支配していません。実際には、後で外部のさまざまなクライアントに再販される安全なAPIを作成する必要があります。だから1つの質問。 SSL証明書を購入した場合、X509として認証に使用し、httpsで安全な伝送チャネルを確保できますか?または、この場合2つの異なる証明書が必要ですか? –
多分私は答えを少し複雑にしました。あなたは認証のためにそれをどういう意味ですか? SSLはWebサービスの認証を提供します。誰かがあなたのAPIに接続すると、本当にあなたのサーバーになります。この意味での認証については、1つの証明書だけが必要です。 – mfanto
明確にする - SSLは、正しく構成されていると、認証と機密性の両方を提供します。 WCFはSSL以上の何かのために証明書を使用しますか?(ちょうどHTTPS接続をしているように聞こえますが、私はWCFがよく分かりません) – mpontillo
はい、[X.509](http://en.wikipedia.org/wiki/X.509)では、PKIにとって重要ないくつかの形式の形式を指定しています。あなたのセキュリティ要件は何ですか?これは公衆インターネット上のWebサービスですか?もしそうなら、あなたは信頼できる[CA](http://en.wikipedia.org/wiki/Certificate_authority)によって署名された証明書を持って行くべきでしょう。 – mpontillo
公共のインターネット上に置かれ、実際には支払いのゲートウェイなので、セキュリティは大きな問題です。 –