Conservazione dei pacchetti di certificati (file .pfx)

Question

Conservazione dei pacchetti di certificati (file .pfx)

#1 da (1 voti)
#2 da (0 voti)

2

In un'applicazione distribuita in più ambienti (ad es. Test / Prod), qual è una buona pratica per archiviare il bundle di certificati specifici per l'ambiente (file .pfx)?

È la password che protegge il file .pfx e lo memorizza con il codice dell'applicazione, ad es. cert.{Environment}.pfx un approccio accettabile? La password verrà recuperata da una variabile di ambiente o da un deposito specifico per l'ambiente (ad esempio, il vault della chiave di Azure / l'archivio parametri AWS, ecc.)

encryption openssl web-application appsec

posta ubi 29.03.2018 - 01:16

fonte

2 risposte

Leggi altre domande sui tag encryption openssl web-application appsec

Cosa si può fare con Blind SSRF? GUI exe test di accesso BruteForce

score 1 · Answer 1

È buona norma separare i certificati e le chiavi private dalle risorse dell'applicazione. Gli sviluppatori non dovrebbero avere alcun controllo su quali certificati l'applicazione può fidarsi e su quali chiavi private l'applicazione utilizza.

score 0 · Answer 2

Se l'ambiente dell'applicazione è caselle on-premise, consiglierei di creare un archivio certificati personalizzato, che fornirà i certificati archiviati su richiesta. In ambiente Windows, suggerirei di utilizzare il fornitore di keystore CNG per questo tipo di soluzione.

Per una soluzione basata su cloud, vorrei proporre l'utilizzo di Azure Key Vault e Managed Service Identity che offre una soluzione sicura per l'archiviazione di certificati, chiavi e segreti.