Como comprar um certificado X.509 para assinar cargas úteis digitais

Navegue suas respostas
2

Estou em uma situação em que meu software está chamando um serviço da web de terceiros (SOAP) e usando o WS-Security para autenticação de cliente usando um certificado de cliente e assinatura digital do conteúdo da mensagem. O fornecedor exige que o certificado que eu envio a eles tenha uma cadeia de confiança que se origina de uma autoridade confiável (Verisign, Thawte, etc) - eles não permitirão que eu auto-assine.

Quando você acessa sites que vendem certificados, a maioria tem apenas três opções:

  • Certificados SSL
  • Certificados "Assinatura de código"
  • Certificados "Assinatura de documentos"

"Assinatura de documentos" parece ser o mais próximo do que eu preciso, mas muito da literatura nos sites fala sobre como eles podem ser usados para assinar documentos do Word e PDF para uma camada extra de segurança para realmente ter um sinal humano "para um documento.

Existe alguma maneira de comprar um certificado especificamente para assinatura de mensagem / carga binária automatizada que funcionará com o WS-Security e não é limitada por taxa? (por exemplo, alguns sites exigem registro de data e hora e "telefonar para casa" para poder controlar quantos documentos você assinou)

Isso parece ser uma solicitação comum para cenários B2B, mas há muito pouco em termos de documentação.

    
por Mike Marshall 12.09.2014 / 18:09

1 resposta

1

Comece com um certificado de autenticação do cliente, que provavelmente é bom o suficiente. Você tem duas opções:

1) Compre um certificado de email. Estes também são certificados de clientes e permitem assinar e são baratos.

2) Obtenha um certificado de servidor gratuito do Letsencrypt. Eles vêm com as extensões abaixo que podem ser boas o suficiente para o seu caso de uso: 

    X509v3 extensions:
        X509v3 Key Usage: critical
            Digital Signature, Key Encipherment
        X509v3 Extended Key Usage: 
            TLS Web Server Authentication, TLS Web Client Authentication
        X509v3 Basic Constraints: critical

O único desafio para eles é que você precisa possuir um domínio válido para solicitá-los. A boa notícia é que o certificado é de graça

    
por 12.04.2016 / 18:04

Tags

Por que meu pfSense WAN para Comcast vai via 100.99.197.221, que parece estar na Bielorrússia? Não é possível conectar a porta HTTPS no Ubuntu