我处于这样一种情况,即我的软件正在调用第三方Web服务(SOAP),并使用WS-Security进行客户端身份validation,并使用客户端证书和数字签名消息内容。 供应商要求我发给他们的证书有一个信任链,来源于一个可信的权威人士(Verisign,Thawte等) – 他们不允许我自我签名。
当你去网站出售证书,大多只有3个选项:
“文档签名”似乎与我所需要的最接近,但是网站上的大部分文献都谈到如何用它们来签署Word和PDF文档以获得额外的安全层,以便实际上有一个人的“签名”文件。
是否有任何方法可以购买专门用于自动化二进制有效载荷/消息签名的证书,该证书将与WS-Security一起使用,并且不受速率限制? (例如,某些网站需要时间戳和“打电话给家里”来跟踪您签署了多less文件)
这似乎是对B2B情景的一个普遍要求,但是在文档方面却很less。
从一个可能足够好的客户端authentication证书开始。 你有两个select:
1)购买电子邮件证书。 这些也是客户端证书,并允许签署和便宜。
2)从Letsencrypt获得一个免费的服务器证书。 这些附加的扩展名可能足以满足您的使用情况:
X509v3 extensions: X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 Basic Constraints: critical 唯一的挑战是你需要拥有一个有效的域来请求它们。 好消息是证书是免费的