В каком сертификате SSL я нуждаюсь?
Команда списка версий приложений gcloud принимает опцию --limit, которая может быть полезна для получения того, что вы хотите:
--limit=LIMITМаксимум количество ресурсов для перечисления. По умолчанию установлено значение
blockquote>unlimited. Этот флаг взаимодействует с другими флагами, которые применяются в следующем порядке:--flatten,--sort-by,--filter,--limit.Таким образом, вы можете получить одну запись, используя
--limit=1. Чтобы получить самый последний, в отличие от самого старого, вам , возможно, потребуется изменить порядок сортировки, который возможно использование префикса
~:
--sort-by=[FIELD,…]Разделенный запятыми список имен ключей поля ресурса для сортировки. По умолчанию порядок возрастает. Добавьте в поле префикс `` ~ ´´ для нисходящего порядка в этом поле.
blockquote>Обратите внимание, что вам может потребоваться избавиться от (некоторых) версий, которые используют разные форматы имен, чем по умолчанию, основанный на отметке времени (например,
a2иv2, показанные в вашем текущем список) для схемы на работу.Примечание: возможно, вы захотите остановить некоторые из этих версий - все они работают, возможно, излишне жуя ресурсы и увеличивая расходы.
2 ответа
Это кажется на поиск двух различных типов сертификатов:
1 - сертификат SSL - для аутентификации Вашего веб-сайта/сервера приложений.
2 - Сертификат для подписывания кода - для целостности/аутентификации exe Вы поставляете.
Обычно это - два различных сертификата с двумя различными профилями сертификата. По крайней мере Вы нуждаетесь в одном сертификате с двумя различными ключевыми использованиями или расширили ключевые использования.
Несколько мыслей ни в каком определенном порядке:
-
Проверка Ваши целенаправленные браузеры, у них должен каждый быть ряд предварительно сконфигурированных корневых сертификатов - это - наиболее широко распознанные общедоступные источники сертификата. Я, вероятно, проверил бы и Firefox и IE. Поставщики сертификата, известные мне как знаменитости, - Versign, GeoTrust, RSA, Thawte, Поручают. Но существует также GoDaddy и многие другие. Что-либо, что прибывает в поставленный браузер как Доверяемый Корневой Сертификат, позволит Вам соединяться со своими пользователями без дополнительной Greif.
-
я предлагаю гуглить и для "сертификата для подписывания кода" и для "сертификата SSL".
-
то, Как Вы настраиваете свой сайт, определит, проверен ли Ваш веб-сайт, или Ваш сервер аутентификации проверен. Если сертификат хранится на сервере приложений, то Ваш пользователь получает шифрование SSL полностью к серверу. Но много сайтов помещают сертификат SSL, немного дальше передают - как на брандмауэре и затем подготавливают набор серверов приложений позади него. Я не вижу, что безопасность портится в этом, пока сети тщательно настроены. Внешним пользователям обе конфигурации будут выглядеть одинаково - они получат блокировку на своих браузерах и сертификате, который говорит им, что www.foo.com предлагает, это - учетные данные.
я вижу довольно выгодные предложения для сертификатов SSL: - GoDaddy - $12,99 - Register.com - 14,99$
, Но они не обязательно подписывание кода certifiates . Например, в то время как Сертификат SSL GoDaddy составляет 12,99$, их , сертификаты подписывания кода составляют 199,99$! Это - часть многих бизнес-моделей поставщиков сертификата - соблазняют Вас в с дешевыми Сертификатами SSL и заставляют Вас заплатить за подписывание кода. Случай мог быть сделан этим, сертификаты для подписывания кода являются относительно более высокой ответственностью. Но также и... они должны субсидировать дешевые сертификаты SSL так или иначе.
Теоретически, должно быть возможно сделать сертификат, который делает и подписывание кода и SSL, но я не уверен, что Вы хотите это. Если бы что-то должно произойти, было бы хорошо смочь изолировать две функции. Кроме того, я вполне уверен, необходимо было бы позвонить поставщикам сертификата и спросить, сделали ли они это, и если они не делают, имение их делает оно, вероятно, поднимет цену довольно высоко.
До поставщика, вещи рассмотреть:
- технология является в значительной степени всей одинаковой. В эти дни стремитесь к минимуму ключей на 128 битов, я, вероятно, ударил бы его до 256, но я параноик.
- Вне приемлемости браузера, единственной причиной заплатить больше была бы узнаваемость имени. Среди параноидальных зубрил безопасности я ожидал бы, что RSA, Thawte, Verisign и GeoTrust будут иметь очень хорошие репутации. Вероятно, EnTrust, также. Это, вероятно, только имеет значение, имеете ли Вы дело со сфокусированным продуктом безопасности. Я думаю, что Ваш средний пользователь не будет таким образом знающий.
- С точки зрения фаната безопасности - Вы только так же в безопасности как безопасность Вашего Корня CA (Центр сертификации). Для действительно параноидального, нужно должен был бы вырыть в справочный материал того, как компания размещает свой корень и издание АВАРИИ, как они физически securited? сетевая безопасность? управление доступом персонала? Также - у них есть общедоступный CRLs (Списки аннулированных сертификатов), как Вы отменяли сертификат? Они предлагают OCSP (Протокол Состояния Сертификата Онлайн)? Как они проверяют просителей сертификата, чтобы быть уверенными, что они дают правильный сертификат правильному человеку?... Весь этот материал действительно имеет значение, предлагаете ли Вы что-то, что должно быть очень безопасно. Вещи как медицинская документация, финансовые приложения управления, налоговая информация, и т.д. должны быть высоко защищены. Большинство веб-приложений не является так высоким риском и вероятно не требует этой степени исследования.
На том последнем маркере - если Вы роете в Verisign мира - очень дорогие сертификаты - Вы, вероятно, будете видеть значение. Они имеют крупную инфраструктуру и относятся к безопасности их АВАРИИ очень серьезно. Я не так уверен в супердешевых услугах хостинга. Тем не менее, если Ваш риск является низким, 300 долларов США для Сертификата SSL не имеет большого смысла по сравнению с 12,99 долларами США!!
Таким образом для веб-сайта / серверы приложений Вам нужен сертификат SSL. Вы делаете не , нуждаются в сертификате EV. Я использовал от QuickSSL для этого, как в отличие от некоторых из других дешевых поставщиков сертификата они не требуют установки промежуточного сертификата на сервере - это не никто для меня.
Для подписания приложений это - другой тип сертификата в целом (отчасти, это - все еще сертификат X509, но тот, который Вы используете для своего веб-сайта, не является тем, который можно использовать для подписания приложения). Вам нужен authenticode подписание сертификата от подобных Verisign или Globalsign. Они - величина, более дорогая, чем простой сертификат SSL, и требуют, чтобы Вы были объединенной компанией и представили те документы.