Я создаю приложение, которое требует взаимной аутентификации. Поэтому я позволю своим пользователям загружать кучу сертификатов клиентов, а когда они совершают звонки, они могут использовать любой из них. Я буду соответствовать сертификату клиента из входящего запроса, чтобы узнать, соответствует ли он любому из уже сохраненных, и если это произойдет, запрос будет выполнен.Лучшая практика хранения клиентских сертификатов?
Теперь я пытаюсь понять, что является лучшим способом хранения этих сертификатов клиентов. Я думал, что могу хранить их в БД или в каком-то хранилище файлов/блоков, или я узнал, что они также могут быть установлены в магазине в машине?
Какой из этих вариантов идеален или считается лучшей практикой?
Какова наилучшая практика хранения клиентских сертификатов?
Редактировать: Мой сервер фактически запускает службу на компьютере под управлением Windows с помощью IIS, которую будут использовать другие пользователи.
Сертификаты являются общедоступной информацией. Они могут быть опубликованы как телефонный номер в телефонной книге. На самом деле нет лучшей практики для их обработки. Иногда вы увидите некоторые проблемы, связанные с конфиденциальностью, такие как утечка информации о пользователе на своих пользователях на основе общедоступной информации, такой как сертификаты и файлы журналов. Но это, похоже, не применимо здесь. Соответствующий закрытый ключ (или файл PKCS 12) - это другая история. – jww
Нет ничего безопасного в том, чтобы иметь только сертификат клиента, и нет особых причин для этого. Что нужно проверить, является ли * владелец * сертификата * авторизованным * использовать ваш сервер. Для этого вам не нужны сертификаты, а только таблица subjectDN. Наличие фактического сертификата также вызывает проблемы, когда приходит время для обновления клиента. – EJP