证书生命周期的每个部分都需要其自己的保护级别和方法。发现阶段本身就是一种安全措施。通过搜索过期或丢失的证书,可以在违规行为成为问题之前检测到它们。监视阶段与此类似,因为它监视过期、未正确实现或已泄露的证书。这两个阶段都可以自动化,以实现更好的检测过程。手动管理系统可能会丢失已泄露或已过期的证书。
其余阶段需要高级别的保护和身份验证。创建阶段应确保每次创建新证书时颁发证书的 CA 都具有有效的信任链。安装应该正确,因为实施不当的证书会破坏安全,攻击者可以利用它来达到恶意目的。存储阶段需要具有很强的安全性,以便证书不会被威胁参与者破坏和滥用。证书的吊销、续订和替换也必须安全、正确地完成,因为这些阶段从头开始再次开始循环。
在Apache文档中提到,不能在单个IP上同时有多个按名字识别的虚拟主机(“named virtual host”),其实不完全是这样,接下来我们就来演示下如何打破这一魔咒。
SNI全称Server Name Indication(服务器名称指示),这个问题可以解决apache中的单IP多HTTPS虚拟主机,只有默认第一个站点的SSL生效的问题。但是这些技术需要浏览器的版本支持
*Mozilla Firefox 2.0 or later
*Opera 8.0 or later(the TLS 1.1 protocol must be enabled)
*Internet Explorer 7(Vista,not XP)or later
*Google Chrome(Vista,not XP)(NOT Chromium)
*Safari 3.2.1 Mac OS X 10.5.6
*apache版本在2.2.12以上
*需要mod_gnutls或者mod_ssl模块的支持
*Openssl在0.9.8j后的版本也都支持了SNI的功能
打开Apache/conf/extra/httpd-vhost.conf文件并找到以下参数进行配置。
Listen 443
NameVirtualHost*:443
<VirtualHost*:443>
ServerName www.test1.com
SSLOptions StrictRequire
DocumentRoot/path/to/ssl/enabled/site
SSLProtocol all-SSLv2-SSLv3
注意,这里我们同时禁用了SSLv2、SSLv3不安全的协议。
SSLHonorCipherOrder on
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLCertificateFile conf/server.crt
SSLCertificateKeyFile conf/server.key
SSLCertificateChainFile conf/ca.crt
完成上述操作后,将CA证书ca.crt配置到该路径下。
<Directory/path/to/ssl/enabled/site/>
SSLRequireSSL
Order Deny,Allow
Allow from All
</Directory>
</VirtualHost>
“`
最后,保存httpd-vhost.conf文件并退出,使用https方式访问网站,测试证书配置是否成功。
据CA/B论坛最新消息,原定于2022年11月15日起执行的代码签名证书私钥保护升级措施,将延期至2023年6月1日,期间用户可在天威诚信继续按照现有规则申请和使用代码签名证书。
此次变更旨在加强代码签名证书私钥保护升级对代码签名证书私钥的保护。按CA/B论坛规定,2023年6月1日以后,普通(OV)代码签名证书密钥对必须在达到FIPS 140-2 Level2或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。
变更前:对于普通代码签名证书,天威诚信获取到用户的CSR后,将其提交至CA进行数字签名后生成证书,再通过邮件的方式将证书发送给用户,无需硬件介质。
变更后:自2023年6月1日起,购买普通代码签名证书将和EV代码签名证书一样,证书由天威诚信签发并存储在预配置的USB Key上,再通过邮寄的方式将USB Key寄送给用户。
需要注意的是,此次升级只针对普通代码签名证书。EV代码签名证书及2023年6月1日前签发的普通代码签名证书不受影响。
同时,已经使用代码签名证书或EV代码签名证书签名且加盖时间戳的软件不受影响并长期有效。
代码签名证书是提供软件开发者可以进行代码软件数字签名的认证服务。通过对代码的数字签名可以消除软件在Windows系统被下载安装时弹出的“不明开发商”安全警告,保证代码完整性和不被恶意篡改,使软件开发者信息对下载用户公开可见,从而建立良好的软件品牌信誉度。
然而近年来由私钥泄漏导致的网络安全事件频发,引起了微软等国际巨头的充分重视。可以预见的是,代码签名私钥存储新规开始执行后,OV代码签名证书也将从“软证书”变为“硬证书”,更有助于降低私钥泄漏的可能性。
为避免此次代码签名证书私钥保护升级带来的不便,天威诚信在此提醒,请有需要的用户提前做好计划和工作安排,天威诚信可为用户提供各主流厂商的代码签名证书以及相应的USBkey寄发和更换服务。
依托22年为全行业95%以上大客户提供可靠证书服务的经验,天威诚信在证书审核、签发以及全生命周期自主管理服务方面不断创新,自主研发了更加贴合国内用户使用的vTrus证书品牌,以及更便于用户下单和进行证书管理的证书智能管理平台,持续保障用户网站信息安全,护航企业业务线上化发展。
日前,接Adobe通知,天威诚信vTrus文档签名证书已通过审核,顺利成为Adobe Approved Trust List(Adobe批准的信任列表)成员,这意味vTrus可为Adobe用户提供更高兼容性、稳定性的服务,同时也意味着vTrus在证书全球可信体系中取得进一步市场优势。
随着线上业务的发展,企业采用Adobe公司的PDF文件实现无纸化办公的情况越来越普遍。为保证PDF文件内容及其在传输过程中的真实可信,Adobe公司于2005年推出了认证文档服务计划,并制定了严格的审核政策及技术标准。
通过Adobe审核后,可直接预置各受信任的CA根证书,使PDF等电子文档具有合法身份识别和不可篡改的特性。
vTrus是天威诚信建设的国产自主根证书品牌,并通过了WebTrust国际审计认证,以国际标准化的运营管理和服务水平,致力于为客户提供权威可信的认证产品与服务。
成为Adobe Approved Trust List成员后,vTrus可为个人或企业颁发PDF文档签名证书,证书持有人可向用户证实签名人的真实身份以及在工作流程中电子文档或电子合同的确认签名,默认被Adobe acrobat Reader各版本所信任,不需要安装任何插件或第三方软件。
vTrus文档签名证书可以实现公司PDF文件流转过程中的唯一性、真实性和防抵赖,有效帮助企业保护其知识产权和机密信息,而且由于vTrus业已通过WebTrust国际审计认证,从技术标准和运营规范等方面都已达到国际标准,更可以使签名具有法律约束力。
除验证文件签名和内容的真实性外,vTrus证书还可为客户提供自主且高可用性的SSL证书产品及服务,包含DV、OV、EV三种类型,支持RSA/国密SM2算法,证书覆盖单域名、多域名、通配符、多域名通配符等多种类型,满足不同客户的需求,保障网站信息安全。
日前,全球领先的数字信任提供商DigiCert在马来西亚吉隆坡君悦酒店召开“2022年亚太区合作伙伴会议”。来自美国、日本、澳大利亚、韩国等多国DigiCert高管和合作伙伴齐聚一堂,共创数字信任与网络安全新生态。
作为DigiCert中国市场坚实可靠的合作伙伴,天威诚信受邀出席会议,并揽获2022年度最佳合作伙伴、年度卓越销售业绩奖等三项重量级大奖。
年度最佳合作伙伴是DigiCert战略合作模式中的最高资质,天威诚信是亚太地区该荣誉的唯一获得者,充分展现了天威诚信携手DigiCert在证书服务方面的突出优势和特殊贡献,印证了天威诚信的企业实力以及DigiCert对天威诚信的信赖和认可。
年度杰出销售业绩奖则是DigiCert颁发给年度销售业绩超百万美元机构的荣誉奖项。自从与DigiCert建立合作关系以来,天威诚信已多次获得该奖项,展示了天威诚信在亚太地区服务器证书市场中的极高占有率,以及市场、行业、客户对天威诚信在证书服务领域的长期高度认同。
天威诚信国际认证事业群总监安垠代表公司参加了会议。安垠表示,自2000年天威诚信将DigiCert TLS证书引入中国以来,双方在合作过程中积累了丰富的行业最佳实践,共同打造了完善的联合服务机制,依托证书服务持续为国内用户提供安全可靠的数字信任建设方案,赋能千行百业的数字化转型。
会上,双方就今后的重点合作方向达成了一致。安垠表示,天威诚信正积极布局推动与DigiCert在数字证书自动化等领域的深入合作,以更好地满足客户数字化转型需求,推动数字经济蓬勃发展。
DigiCert高管对天威诚信在中国市场取得的成就表示祝贺,并表示作为大客户覆盖率超过95%的CA机构,天威诚信拥有丰富的应对和解决各种复杂及突发情况的专业服务经验,并能够根据中国本地合规的要求,为国内企业和个人提供证书生命周期管理服务,将信任扩展到供应链和互联生态系统。
双方一致认为,伴随着中国企业数字化转型进程的加快,今后更需立足资源禀赋与服务优势,共同携手为中国企业的数字化转型聚势赋能,通过提供更有效的数字信任解决方案,同时进一步夯实本地化服务,实现应用场景快速落地,为更广泛的企业与个人的数字安全保驾护航。
发现:证书生命周期的发现阶段涉及在网络中搜索必须吊销、续订或替换的丢失、过期、泄露或未使用的证书。这是该过程的重要组成部分,因为它会发现证书安全性中的漏洞,并将这些差距传递到监控阶段,从而可以密封这些漏洞。通常,此阶段还处理证书清单,以帮助将来的发现阶段,以及可能发生的任何证书审核。
创建/购买:这是创建证书的阶段。联机用户、组织或设备从证书颁发机构请求证书,其中包含注册用户所需的公钥和其他注册信息。然后,CA 验证给定的信息,如果它是合法的,则创建证书。用于创建证书的证书颁发机构可以由需要证书的组织拥有,也可以由第三方拥有。如果证书是从第三方获得的,则必须从他们那里购买。
安装:证书的安装很简单,但仍然同样重要。证书必须安装在安全但可访问的位置,因为尝试验证证书真实性的用户必须有权访问它。安装证书后,CA 会将策略落实到位,以确保证书的安全性和正确处理。
存储:如前所述,安装证书时,它必须位于安全位置以防止泄露。但是,它不应该太安全,以至于需要读取证书的用户无法访问它。本文档稍后将讨论为存储证书而实施的适当策略和法规。
监视:监视是证书生命周期中最重要的阶段之一。这是一个几乎恒定的阶段,其中证书管理系统(无论是自动的还是手动的)都会监视数字证书的泄露,过期或泄露。“监视”阶段使用在发现阶段创建的清单来跟踪何时应吊销、续订或替换证书。然后,证书管理系统将这些证书移动到下一阶段,该阶段可以是续订、吊销或替换。
续订:当达到证书的到期日期时,将续订证书。这在证书中自然会发生,因为最佳做法是最多不要使用证书超过5年。可以将证书设置为自动续订,也可以保留证书到期日期的列表,并且证书的管理员可以在适当的时间续订。
吊销:如果发现证书已泄露、被盗或以其他方式受到负面影响,则该证书将被吊销。吊销证书后,该证书将放在证书吊销列表 (CRL) 中。此列表可确保其他 CA 知道这不再是有效的证书。
替换:当用户从支付证书切换到创建自己的公钥基础结构 (PKI) 和 CA 时,证书将被替换。这很少这样做,因为从原始提供商那里续订证书比替换该证书要容易得多。
实现证书生命周期很重要的原因之一是由于证书的用途。证书标识 Internet 上的网站和用户,这意味着如果证书在其生命周期的任何时候遭到入侵,攻击者可能会伪装成该人,并且该证书所属的用户将被归咎于与该证书关联的任何攻击。此外,由于用户的密钥与其数字证书相关联,因此该密钥也会受到损害,由同一密钥加密的任何数据也会受到损害。
保持强大的证书生命周期的另一个原因是它与网站一起使用。网站数字证书的泄露可能导致中断,从而给其网站所在的组织造成损失。该网站还可能被用来用恶意软件感染用户的计算机,或者在网站所有者的幌子下执行网络钓鱼活动。正确实现证书生命周期的第一步是了解生命周期的每个阶段是什么,以及如何保护每个阶段。
在线咨询
您好,请问有什么可以帮助您?
SSL证书/代码(数字)签名证书/https证书
