如何购买用于签署数字有效载荷的 X.509 证书

如何购买用于签署数字有效载荷的 X.509 证书

我的情况是,我的软件正在调用第三方 Web 服务 (SOAP),并使用 WS-Security 进行客户端身份验证,使用客户端证书和消息内容的数字签名。供应商要求我发送给他们的证书具有来自受信任机构(Verisign、Thawte 等)的信任链 - 他们不允许我进行自我签名。

当您访问销售证书的网站时,大多数只有 3 个选项:

  • SSL 证书
  • “代码签名”证书
  • “文件签名”证书

“文档签名”似乎最接近我的需要,但网站上的许多文献都在谈论如何使用它们来签署 Word 和 PDF 文档,以便为真正由人类“签署”文档提供额外的安全保障。

有没有办法购买专门用于自动二进制有效负载/消息签名的证书,该证书可以与 WS-Security 配合使用,并且不受速率限制?(例如,某些站点需要时间戳和“打电话回家”才能跟踪您签署了多少文件)

这似乎是 B2B 场景的常见请求,但相关文档却很少。

答案1

从客户端身份验证证书开始,这可能已经足够好了。您有两个选择:

1) 购买电子邮件证书。这些也是客户端证书,允许签名,而且很便宜。

2) 从 Letsencrypt 获取免费服务器证书。这些证书附带以下扩展,可能足以满足您的使用情况:

    X509v3 extensions:
        X509v3 Key Usage: critical
            Digital Signature, Key Encipherment
        X509v3 Extended Key Usage: 
            TLS Web Server Authentication, TLS Web Client Authentication
        X509v3 Basic Constraints: critical

唯一的挑战是您需要拥有一个有效的域名才能申请它们。好消息是证书是免费的

相关内容