鉴于以前列入白名单(允许来自xxxx等)的受SSL保护的站点以及客户要求更改authentication方式的要求,请使用X.509 HTTPS客户端validation。
问题在于SSL CA的“通常的嫌疑人”都没有能力生成X.509证书,而无需购买CA的Managed PKI服务。
我只为内部客户做过这个事情,所以很容易生成一个自签名的CA,并将CA的公共证书放到客户的钥匙串中。 对于外部客户来说,要做到这一点并不容易,并说服他们去做。
所以看起来这些选项是: 沿着一个托pipe的PKI服务的路线。 – 显然这是非常昂贵的,将意味着更换内部CA的东西呢?
要么
获得一个CA来签署他们的根证书。
是对的吗? 有没有人做过类似的事情? 有没有人知道一个可信根可能花费什么球估计?
这不是一个购物问题。
如果客户愿意在用户的Web浏览器中安装客户端证书来访问您的站点,那么使用自签名的CA确实不是什么大问题,因为您可以随身携带证书就在这。