我正在尝试在我的系统和第三方 API 之间建立安全的 TLS 连接。第三方要求我必须在所有通信中使用 AES 256,现在我已经在根机器存储上安装了 X509 证书。我如何确保两个系统之间发生的通信始终使用 AES?
当我在 Mozilla Firefox 中检查证书的签名算法时,我发现它使用的是 RSA。这与我的场景有什么关系吗?为了进行 AES 加密对话,我的证书是否应该拥有 AES 签名算法?
答案1
第三方要求我必须使用 AES 256 进行所有通信
通常您的TLS 客户端将与服务器协商并将确定它们都支持的加密方法/级别。
如果您的第三方要求最低加密级别他们只需相应地配置他们的 API 服务器即可:当 API 服务器配置正确时,它不会接受任何不安全的加密密码/级别而您实际上无需做任何事情...
如果他们说你应该使用强加密,但无法正确配置他们的服务器来真正执行这一点,那么你可能需要配置你的客户端以使用一组特定的密码/加密级别和/或强制以特定顺序进行密码协商,以确保您使用正确的安全级别。
如何做到这一点取决于你用于与该 API 通信的特定 TLS 客户端/库/软件。
我的证书的签名算法是 RSA
一般来说,证书的签名算法对可用于保护客户端和服务器之间的通信通道的加密级别和密码没有任何限制。