generar certificado en tiempo de ejecución y validar

Navega tus respuestas
0

Tengo un proyecto que requiere que la aplicación cliente se registre y luego use los servicios. Me gustaría hacer lo siguiente:

  1. Una aplicación cliente envía una solicitud con IP, nombre de dominio, etc. a mi servicio REST
  2. El servicio de descanso crea un nuevo certificado basado en los parámetros y luego lo envía a la aplicación.
  3. La aplicación enviará la huella digital del certificado para demostrar que es genuino.
  4. Al recibir el certificado, usaré el certificado del servidor que tiene una clave privada para validar la entrada recibida.

He estado buscando en Internet y solo encontré que el certificado se creó manualmente. Además, no había forma de generar un certificado en tiempo de ejecución

Por favor, sugiera la práctica correcta. Soy un desarrollador .net.

    
pregunta Saravanan 08.12.2014 - 16:56
fuente

1 respuesta

3

Estás proponiendo hacerlo al revés. No le conviene tener una clave privada en el servidor y entregar un certificado público para validar al cliente. En su lugar, desea que el cliente haga un par de claves y envíe el certificado al servidor para que se almacene. Luego, el servidor puede usar el certificado para generar un desafío para el cliente y probar que tienen la clave privada para ese cliente.

No inventes tu propia seguridad, no será segura. El sistema que usted propone es defectuoso e inseguro, tal como lo describió, ya que la clave pública no está diseñada para la prueba de identidad, ni tampoco le envía a la huella digital una forma de validarla.

    
respondido por el AJ Henderson 08.12.2014 - 18:18
fuente

Lea otras preguntas en las etiquetas

¿Cómo se puede comprometer este servidor web? ¿encuentra el algoritmo basado en algunos ejemplos?