Tengo una aplicación Winforms que los usuarios deben descargar e instalar en sus máquinas. Se conecta a un servicio WCF (mediante SSL), por lo que requiere que el certificado del servidor se instale en las Autoridades de certificación de confianza de los usuarios. ¿Puede alguien sugerir la mejor práctica para distribuir un certificado de servidor para permitir a los usuarios descargarlo desde un sitio web e instalarlo en sus máquinas?
Gracias.
No lo haces. Normalmente, el almacén de certificados que contiene raíces de CA confiables es un elemento de importancia crítica en la PKI.
Es, literalmente, la raíz de su cadena de confianza. No puede simplemente hacer que sus usuarios agreguen un certificado a ciegas porque manipular esa tienda es algo que solo se hace a través de un canal seguro, algo que, en su situación, aún no ha establecido.
Es por eso que la mejor práctica es que su certificado esté firmado por una autoridad que ya esté implementada en los dispositivos cliente, generalmente una CA pública, pero también podría ser una CA privada en una red corporativa.
Permítame usar una analogía: suponga que está vendiendo fregaderos de cocina. La instalación y el mantenimiento de un fregadero de cocina en ocasiones requieren la intervención de un plomero calificado. Su propuesta (instalar su certificado en las tiendas de "raíz confiable" de los sistemas cliente) es como decir: "¿Cómo hago para que mis clientes me envíen una copia de las llaves de sus puertas para poder enviar plomeros en cualquier momento? ".
A la mayoría de los clientes no les gustaría. El almacén de "raíz de confianza" es sensible . Presionar su propio certificado en esa tienda es pedir mucha confianza, le da mucha potencia y hace que la seguridad de la máquina quede subordinada a la forma en que protege la clave privada de su lado.
La forma agradable de hacer WCF es incrustar el certificado del servidor (o el certificado de su CA emisora) en el código de la aplicación, para que la aplicación pueda verificar que está hablando con el servidor correcto sin cambiar la configuración de todo el sistema. Esto implica usar un validador personalizado, como se describe allí .
Sin embargo, el método sugerido por @Stephane (comprar un certificado de una de las CA en la que ya confían la mayoría de los clientes) es más fácil y probablemente más rápido.
Lea otras preguntas en las etiquetas tls