使用自签名证书进行 Azure 服务主体身份验证的风险?

【问题标题】:Risks of using self signed certificate for Azure service principal authentication?使用自签名证书进行 Azure 服务主体身份验证的风险?
【发布时间】:2021-03-23 10:43:20
【问题描述】:

我的本​​地脚本在 Azure 中部署资源。 该脚本使用自签名证书进行 Azure 服务主体身份验证。

我在没有证书颁发机构的情况下在 Keyvault 中创建了证书。 然后我在脚本服务器上安装了证书。

在这种情况下使用自签名证书而不是使用具有证书颁发机构的证书有什么风险?

【问题讨论】:

    标签: azure certificate self signed


    【解决方案1】:

    Microsoft 建议仅将自签名证书用于测试目的,仅作为 Azure 服务主体的身份验证方法。

    https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal#option-1-upload-a-certificate

    https://docs.microsoft.com/en-us/powershell/module/pkiclient/new-selfsignedcertificate?view=windowsserver2019-ps#description

    签署证书的正确方法是使用知名且受信任的第三方证书颁发机构 (CA)。 自签名证书有几个关键限制/缺点:

    • 不能撤销自签名证书。
    • 自签名证书永不过期。
    • 需要公钥基础设施 (PKI)。与公钥身份验证相比,这可能会增加某些环境中初始部署的成本。
    • 必须将自签名证书放入使用 Azure 服务主体身份验证的每台计算机上的 Trusted Store。
    • 自签名证书是凭证,而不是依赖于证书颁发机构的信任。

    https://www.mcafee.com/blogs/other-blogs/mcafee-labs/self-signed-certificates-secure-so-why-ban/

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2018-09-30
      • 2018-11-03
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2020-01-28
      • 2017-07-26
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode