키 저장소의 인증서 인증

Question

Azure Key Vault에 보관하고 싶은 비밀이 있습니다. 나는 클라이언트와를 사용하는 대신 키 Vault를 인증하기 위해 클라이언트 ID 및 인증서를 사용할 수 있습니다 알고 비밀을 다음과 같이 :

1. 푸른 AD 응용 프로그램
로 인증서를 받거나 인증서
2. 준 만들기
3. 는

대부분의 예는 인증서를 생성 makecert 또는 New-SelfSignedCertificate을 사용 인증서를 사용하는 응용 프로그램에 코드를 추가합니다. 이 경우 프로덕션 응용 프로그램에 대해 자체 서명 된 인증서에 문제가 있습니까? 이것은 Azure Key Vault로 인증하는 응용 프로그램에만 해당되며 클라이언트가 브라우저에서 볼 수있는 것이 아닙니다.

이 경우에도 자체 서명 된 인증서가 여전히 싫은 경우 SSL/TLS 인증서를 구매할 때와 동일한 절차를 통해 신뢰할 수있는 기관의 인증서를 구매하고 있습니까? 심지어 같은 종류의 인증서입니까?

Answer 1

자체 서명 된 인증서를 사용할 때 본질적으로 잘못된 점은 없습니다 (일부주의 사항 포함). 구입 한 인증서와 자체 서명 된 인증서 사이에는 순수한 암호화 관점과 차이가 없습니다. 유일한 차이점은 구입 한 인증서는 대부분의 브라우저/운영 체제/등에서 공개 키를 배포하는 하나 이상의 인증 기관 (CA)이 서명 한 것입니다. 즉, 사용자는 구입 한 인증서가 합법적 인 것보다 훨씬 더 높은 자신감을 가질 수 있지만 자체 서명 된 인증서를 수락하려면 신임을해야합니다.

그러나 클라이언트 응용 프로그램을 제어 할 수있는 것처럼 보이기 때문에 실제 사용자는이 인증서를 보지 않아야합니다. 따라서 중간자 공격 (예 : 누군가 자신의 자체 서명 인증서를 생성하고 자신이 될 수있는 척)을 예방하기위한 예방 조치를 취하는 한 걱정없이 자체 서명 된 인증서를 사용할 수 있습니다. 이 작업을 수행하는 가장 효과적인 방법 중 하나는 인증서 고정을 사용하는 것입니다. 본질적으로 인증서의 공개 키는 클라이언트 응용 프로그램과 함께 제공되며 클라이언트 응용 프로그램은 공개 키를 제공하는 인증서 만 수락합니다. 따라서 악의적 인 배우 (인증서를 도용하지 않은 사용자)가 man-in-the-middle 공격을 수행하는 것이 훨씬 더 어려워집니다.

TL : 중간자 공격 (man-in-the-middle attack)을 방지하고 인증서를 안전하게 유지하는 한, 사용자 연결 연결.