API的安全结构

Question

我已经开发了8个月的web应用程序和API。我实现了用于身份验证的OAuth 2.0客户端凭据。现在我必须将TLS实现到我的API中。我已经处理SSL/TLS安全实现几天了。我什么也做不了。尽管如此，我还是开始感到绝望。

我可能错了，但我想，我可以在我的网页上向我的用户颁发证书。当用户试图使用我的API进行SSL身份验证时，可以使用这些API。(如Paypal)有很多事情是必须知道的。所以我需要帮助。

问:我想知道我的名单上有没有遗漏的物品？我还能做什么？

问:是否可能有其他方法为我的API提供安全？

我要做的事清单摘要；

1. 使用OpenSSL创建CA密钥和证书
2. 使用OpenSSL创建服务器密钥和证书
3. 写一张“新证书”如果用户单击该按钮，则在我的网页上添加按钮；a.使用PKIjs 509 b生成可下载的客户端证书。证书的副本保存在服务器上的clients文件夹中。
4. 使用PKIjs创建和管理证书吊销列表到CA
5. 写一个“删除证书”。如果用户单击该按钮，则在网页上添加；a.向CRL添加相关证书
6. 如果用户离开系统，则将相关证书添加到CRL中。

我认为4号、5号和6号(CRL操作)是多余的。我需要客户端和服务器之间的安全连接。每个不同的客户端证书都会为服务器创建不同的安全通道。因此，如果恶意用户使用证书，他只能安全地访问我的授权服务器。因此，在我的情况下，这些项目似乎并不重要。是吗？

我使用Node.js和javascript。我找到了一些有用的javascript库，如PKIjs、forge.js和pem。

我给一家全球性的CA公司打了个电话，要求他们提供PKI服务。他们给了我每个客户30美元，我不能使用他们的CRL作为编程在我的应用程序。这对我来说是不可能的。所以我一直想自己解决问题。

关键词记住一些事情；

( EJBCA，x.509，PKI，密钥交换，S/MIME，OpenSSL，RSA，ASN.1，PCKS，指纹)

Answer 1

我在寻找的时候找到了一个解决方案；

http://blog.engelke.com/2015/03/03/creating-x-509-certificates-with-web-crypto-and-pkijs/

但我先试试pem模量。因为它在后端工作而且看起来更简单。