(프로그래밍 코드보다 OS 구성과 관련이 있다고 생각하기 때문에 StackOverflow 대신 ServerFault에 게시 됨).
현재 타사 웹 서비스에 연결하는 시스템을 유지 관리하고 있습니다. 이 웹 서비스에는 충분한 클라이언트 인증 인증서가 필요하지만 웹 서비스 자체는 자체 생성 된 루트 인증 기관 인증서 (클라이언트 인증 인증서를 생성하는 동일한 루트)에 의해 생성 된 자체 서명 된 인증서로 보호됩니다.
현재 서비스 인증서를 알려진 신뢰할 수있는 목록에 추가하고 자체 생성 된 기관 인증서를 무시하는 것만으로도 충분합니다. 불행히도 서비스 인증서는 정기적으로 변경되므로 권한 인증서를 신뢰할 수 있어야 애플리케이션이 중단 될 때 응용 프로그램이 중단되지 않아야합니다. 서비스 인증서가 갱신되었습니다.
그러나 나는 웹 서비스를 운영하는 회사에 대한 나의 경험에 근거하여 (개인적으로) CA 인증서를 신뢰하지 않습니다. 웹에 유출 될 경우 놀라지 않을 것입니다. 그리고 걱정스럽게도 CA 인증서에는 키 사용 제한이 없습니다. 원격이지만 외부 MITM 공격이 발생할 가능성이 있지만 코드 서명에 사용되는 인증서 유출에 대해 더 우려하고 있습니다.
내 컴퓨터 (현재 서버 상자이지만 미래의 일반 데스크톱 클라이언트 상자)에게 CA를 신뢰하되 주어진 키 사용 세트와 가능한 주체 이름 (도메인 이름)에 대해서만 CA를 신뢰하도록 할 수 있습니까? )?
서버는 현재 Windows Server 2012 R2이지만 데스크톱 컴퓨터는 모두 Windows 상자이지만 Linux 상자에서 실행될 수 있습니다.