用SSL/PKI保护PKI服务

Question

我的要求是确保其他REST服务的安全。经过一番讨论，决定在oauth上使用PKI。实现将使用Java。

现在我想到了以下问题？

1. 如果我在我的web服务器中启用SSL，而该服务器只是实现PKI基础设施呢？
2. 如果我实现了本指南中提到的所有内容，这将处理所有的加密和解密？服务器之间的原始消息是如何加密/解密的？或者，本指南只是讨论授权客户端，而与传递的消息无关？
3. 如果我以上的假设是错误的，你能帮我理解一下，我所需要知道的关于实现这个基础架构的所有知识吗？

Answer 1

1. 不，不需要。公钥基础设施涉及证书(持有公钥)和私钥的处理。您需要处理证书交换、证书生存期、证书吊销等问题。当然，其中大部分都是由威瑞森( Verizon )等证书管理机构接管的。即使如此，您也需要保护和备份您正在使用的私钥，并确保它符合您的服务器名称，并且在证书到期时更新证书。
2. 是的，SSL/TLS协议具有在“传输级别”保护所有传递的消息的响应性。当然，您可能需要应用程序级别的附加安全性(例如，在服务器上安全地存储发送消息)。一般来说，SSL/TLS就足够了，而且实现会处理所有这些问题。但是，您应该决定要启用哪些SSL密码套件。
3. 嗯，我建议你读一些关于PKI的文章和书籍，可能还会读一些CA的文章和书籍。这个问题(实际上还有另外两个问题)不属于堆栈溢出的话题。用几句话来回答是不可能的。

Answer 2

1. PKI ()涉及证书生命周期、证书颁发机构(内部或外部)、证书策略以及如何使用这些证书。
2. 在web服务器上启用SSL / TLS可以实现安全的http连接(https)，而不是普通的http。通过启用HTTPS，您将保护通过加密在客户端和服务器之间传输的数据。
3. 请注意，要启用ssl/tls，您需要服务器证书以及如何获得由此基础结构负责的证书。我们可以配置MS PKI或使用openssl工具生成内部证书，也可以从CA的Verisign、DigiCert等购买证书。
4. 实现SSL/TLS将确保传输过程中的数据安全，而最终用户仍然需要身份验证和授权。