Certifikat u Certificate store-u ili u pfx datoteci ?

Coordinator
Oct 15, 2012 at 11:40 AM

Spremamo se na blogu napisati članak na ovu temu pa nas zanima kakva su vaša mišljenja - u svakom slučaju postoje "za" i "protiv" i za jedno i za drugo :)

Oct 15, 2012 at 4:18 PM

Dobro pitanje.

Koliko znam, ukoliko je crtifiakt u Store-u svatko ga može exportovati i koristiti gdje želi. Ukoliko je u pfx formatu (zaštićen lozinkom) nije ga moguće importovati niti koristiti. Tako da, sa ovim znanjem, moj glas ide pfx :) Tvoje viđenje? 

 

Oct 17, 2012 at 7:57 PM

U okruženju sa 18 servera (MSSQL replikacija) mi smo se za sada odlučili za spremanje pfx-a u tablicu na bazi...

S time smo dobili administraciju certifikata samo na jednom mjestu u firmi, a može ju odraditi napredni korisnik aplikacije. Nije potreban sysadmin za prijavu certifikata na server ili na kase...

Kad će se za 5 godina obnavljati certifikati, svi u isto vrijeme, to će biti show... Pola njih će zaboraviti da uopće koriste nekakve certifikate..

Oct 19, 2012 at 8:48 PM

spremanje, odnosno samoprisvojeno pravo upravljanja tuđim certifikatima na ovaj nacin, moglo bi imati pravnih posljedica u slucaju eventualnog spora vlasnika certifikata i porezne uprave. ne bi li?

Oct 19, 2012 at 8:55 PM

u slučaju datoteke, aplikacija mora handleati lozinku na siguran nacin, a u slucaja storea cert se moze exportirati.

moze li npr. limited user account u windowsima exportirati certifikat iz storea?

Oct 19, 2012 at 9:06 PM

Ne znam...

Baza je u svakom slučaju sigurnije mjesto za spremanje certifikata nego file system. Od prava pristupa, neovlaštenog kopiranja itd...

Pfx je i dalje zaštićen lozinkom, kao i u file systemu. s njim se radi na potpuno isti način kao da je na disku...

Korisnici imaju i drugih osjetljivih podataka na bazi, i mislim da je jednaki problem ako procuri bilo koji drugi podatak...

Kod nas se ne radi o multi-tennant aplikaciji, ako si možda na to mislio...

Ispravite me ako sam u krivu...

Oct 19, 2012 at 9:32 PM

da, mislio sam da je u pitanju multitenancy. 

da, da, razumio sam da su fileovi i dalje zasticeni, ali cini mi se problematicnim mjesto cuvanja - bez neke pismene privole vlasnika. naravno, ako je ta baza kod njega, na njegovoj opremi, onda je vjerojatno svejedno, jer da, baza je sigurno bolje rjesenje ako vlasnik moze sa svojim certifikatom sto god i kad god pozeli, a istovremeno da je siguran da s tim istim certifikatom nitko drugi nista ne moze. Kada je aplikativni certifikat na njegovom racunalu, i kada je on saam postavio lozinku, onda po defaultu on upravlja svojim potpisom. u svakom slucaju, bolje je imati neku pismenu privolu vlasnika na tu temu. nisam pravnik, samo razmisljam.