我可以为我的应用程序已经使用的 AMS 使用相同的密钥库和证书吗?
问问题
273 次
1 回答
2
您可以,但如果您愿意,也可以选择使用单独的证书和/或密钥库。keystore.conf 文件包含密钥库的详细信息以及 AMS 将用于加密和签署消息的证书标签。这可以指向应用程序用于连接到 WebSphere MQ 的相同证书、应用程序服务器用于 SSL 连接的相同证书或专用于 AMS 的完全独立的密钥库。
关键(请原谅双关语)是根据所需的安全模型管理密钥库。应用服务器的密钥库可能在其信任库中有许多面向外部的证书。例如,它可能信任多个商业证书颁发机构。AMS 密钥库必须包含将签署或加密您的应用将使用的消息或从您的应用接收加密消息的任何人的证书。由于这些通常是面向内部的,因此可能值得为 AMS 使用单独的密钥库,而不是用于面向外部的实体。否则,两种不同的安全模型(面向内部和面向外部)最终会相互信任参与者。
这只是一个例子,一般来说,这个想法是根据所需的特定安全模型并使用最小信任原则来构建密钥库。您必须平衡维护单独密钥库的成本与维护单个密钥库的额外安全性。
于 2010-11-24T20:38:56.967 回答