问安全内部通信

EN

一种是使用加密来实现三个不同的目标:机密性、完整性和不可否认性.

服务器证书允许客户端验证远程服务器的标识，因为服务器名称是在证书中编码的。

当客户端接受服务器证书时，将建立加密连接，客户端可以通过发送正确的凭据来标识自己。

• 机密性-客户端和服务器的身份都被验证了，两者都不能被模仿。由于加密，通信无法被截获。
• 完整性-由于加密，传输的数据不能被篡改。
• 不可否认 -通常要求客户端使用相互SSL并使用客户端SSL证书进行身份验证，而不是使用(或附加)用户名/密码凭据而只使用服务器证书。

我需要每个连接点的证书吗？

差不多了。由于证书是为主机名颁发的，而不是为该主机上的特定服务颁发的，因此您可以对运行在该主机上的多个服务/端点使用相同的证书。

客户端证书通常是客户端特有的，而不是客户端运行的主机，也就是说，如果您在集群上部署应用程序，那么应用程序的所有实例通常都会使用相同的客户端证书。尽管您还看到集群中的每个节点都有自己的唯一客户端证书，但该证书将由运行在该节点上的所有应用程序共享，该群集应用程序的每个实例都将使用不同的证书标识自己。

我能不能只用一个然后分享一下？

考虑到上述因素，是的。

在生产环境中，是否需要使用由可信CA颁发的证书？

当您完全控制客户机和服务器(证书存储)时，您根本不需要CA (既不受信任的公共CA，也不需要内部CA)，您可以简单地复制周围的公钥并使用这些验证端点。

否则，使用CA颁发的证书更好。

那么测试或开发环境呢？

一样的。

目前，我所有的连接点(jee容器、存储系统)都运行在同一台机器上。

为了对您的通信的机密性和完整性构成威胁，在这种情况下，攻击者将已经有足够的访问服务器通过这样的传输安全，并将直接访问数据.