从证书颁发机构请求证书答案

【问题标题】：Request a certificate from the certificate authority从证书颁发机构请求证书
【发布时间】：2012-04-18 06:35:27
【问题描述】：

网络钓鱼问题。

我有一个 tcp 服务器应用程序，它使用 tls/ssl 证书并存储在 pkcs#12 文件中。假设 CA 安装在网络上的某个地方并且可以访问，那么通常的做法是从 CA（一次）以编程方式（C#）请求 ssl 证书并将其写入 pkcs#12 文件以供服务器使用。

这是否是正常做法，或者更可能的情况是从诸如 Thawte 或 Versign 等 CA 购买证书，专门针对该客户，并事先创建 pkcs#12 文件，并作为其中的一部分进行安装安装过程。

【问题讨论】：

【解决方案1】：

我认为这是一个争论可以去任何方向的情况。

如果您需要管理大量网站，则程序化证书请求和签名有其优点，如果出现严重错误（例如，如果有人劫持或监听您的初始请求），则会失去人工验证.在某些时候，需要以编程方式或作为人工操作员做出信任决定。

This paper by Bruce Schneier 更详细地讨论了支持PKI cryptography 的信任决策的 CA 架构的潜在风险。我相信这涵盖了许多与您的问题和您的设计相关的案例，您可能没有并且应该考虑。

【讨论】：

MrGomez，感谢您的链接，但我想我很久以前就读过那篇论文了。一篇优秀的论文，但我真的在寻找实用、有说服力、最新的建议。
@scope_creep 够公平的。撇开所有与管理信任网络相关的陈词滥调，并建立信任链一直到 PKI 的根，this article and its associated links 可能会提供指导。沿着它的链接树向下走，我注意到作者的建议是向 Microsoft 记录技术支持案例。这可能是值得的，只是为了获得针对您的问题的具体建议。祝你好运！