(プログラミングコードよりもOS構成に関係していると感じているため、StackOverflowではなくServerFaultに投稿されています)。
現在、サードパーティのWebサービスに接続するシステムを保守する責任があります。このWebサービスには十分なクライアント認証証明書が必要ですが、Webサービス自体は、自己作成ルート証明機関証明書(クライアント認証証明書を作成するのと同じルート)によって作成された自己署名証明書で保護されます。
現在のサービス証明書を既知の信頼できるリストに追加し、自己作成の認証局証明書を無視するだけで十分です。残念ながら、サービス証明書は定期的に変更されるため、認証局証明書は信頼できる必要があります。サービス証明書が更新されます。
ただし、Webサービスを実行している会社での経験に基づいて(個人的に)CA証明書を信頼していません-Webに漏洩しても驚かないでしょう-心配なことに、CA証明書にはキー使用制限がありません(外部のMITM攻撃は可能ですが、リモートではありますが、コード署名に使用される証明書の漏えいについてより懸念しています)。
コンピューター(現在はサーバーボックスですが、将来の通常のデスクトップクライアントボックス)にCAを信頼するように指示することはできますが、特定のキー使用法と可能なサブジェクト名(ドメイン名) )?
サーバーは現在Windows Server 2012 R2ですが、デスクトップコンピューターはすべてWindowsボックスですが、Linuxボックスで実行できます。
3
少なくともLinuxでは、多くのアプリケーションにはピアCA証明書の場所を指定するオプションがあるため、このCAのスコープをそれを使用するアプリケーションのみに制限できます。@CryptoGuyの答えはLinuxでも機能しますが、Windows固有のものは何もありません。
—
エデルディル
@Edheldil:ただし、実装固有です。たとえば、Windowsは、たとえばNSSやGnuTLSよりもずっと長い間、X.509名の制約をサポートしています。
—
-grawity
システムはこのサードパーティサービスに接続します。システム上のクライアントコードは、システム全体ではなく、そのクライアントコードに対してのみ実行されるように、そのサービスのCAを信頼するように構成できますか?
—
カスタリア
@Castagliaホストシステムとは独立して動作する独自の証明書検証コードを記述できますが、システム全体の証明書サービスを使用するクライアントソフトウェアには制御できないものがあります。
—
大