我的情况是,我的软件正在调用第三方 Web 服务 (SOAP),并使用 WS-Security 进行客户端身份验证,使用客户端证书和消息内容的数字签名。供应商要求我发送给他们的证书具有来自受信任机构(Verisign、Thawte 等)的信任链 - 他们不允许我进行自我签名。
当您访问销售证书的网站时,大多数只有 3 个选项:
- SSL 证书
- “代码签名”证书
- “文件签名”证书
“文档签名”似乎最接近我的需要,但网站上的许多文献都在谈论如何使用它们来签署 Word 和 PDF 文档,以便为真正由人类“签署”文档提供额外的安全保障。
有没有办法购买专门用于自动二进制有效负载/消息签名的证书,该证书可以与 WS-Security 配合使用,并且不受速率限制?(例如,某些站点需要时间戳和“打电话回家”才能跟踪您签署了多少文件)
这似乎是 B2B 场景的常见请求,但相关文档却很少。
答案1
从客户端身份验证证书开始,这可能已经足够好了。您有两个选择:
1) 购买电子邮件证书。这些也是客户端证书,允许签名,而且很便宜。
2) 从 Letsencrypt 获取免费服务器证书。这些证书附带以下扩展,可能足以满足您的使用情况:
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Basic Constraints: critical
唯一的挑战是您需要拥有一个有效的域名才能申请它们。好消息是证书是免费的