Asymmetric Encryption
The problem with secret keys is exchanging them over the Internet or a large network while preventing them from falling into the wrong hands.
Anyone who knows the secret key can decrypt the message. One answer is asymmetric encryption, in which there are two related keys--a key pair. A public key is made freely available to anyone who might want to send you a message. A second, private key is kept secret, so that only you know it.
Any message (text, binary files, or documents) that are encrypted by using the public key can only be decrypted by applying the same algorithm, but by using the matching private key. Any message that is encrypted by using the private key can only be decrypted by using the matching public key.
This means that you do not have to worry about passing public keys over the Internet (the keys are supposed to be public). A problem with asymmetric encryption, however, is that it is slower than symmetric encryption. It requires far more processing power to both encrypt and decrypt the content of the message.
About Digital Certificates
To use asymmetric encryption, there must be a way for people to discover other public keys. The typical technique is to use digital certificates (also known simply as certificates). A certificate is a package of information that identifies a user or a server, and contains information such as the organization name, the organization that issued the certificate, the user's e-mail address and country, and the user's public key.
When a server and client require a secure encrypted communication, they send a query over the network to the other party, which sends back a copy of the certificate. The other party's public key can be extracted from the certificate. A certificate can also be used to uniquely identify the holder.
zie ook
In Weblogic Server
via Environment/SERVER/Configuration/Keystores
- identity keystore: hierin staan de verschillende identiteiten van onze server. oftwel alle client certificaten die wij nodig hebben om opvragingen te doen bij externe partijen. Hiermee autenticeren wij ons bij de server van de externe party
- Trust keystore: Hieraan staan alle certificaten van partijen die wij vertrouwen. Je kan het certificaat er in plaatsen maar gebruikelijker is om de certificaten erin te zetten van de partijen die wij vertrouwen.
One-way SSL: Wij roepen een externe server aan. Deze geeft een certificaat terug. Wij kijken in onze Trust keystore of we dit certificaat vertrouwen. En er wordt een SSL verbinding opgezet
Two-way SSL: Wij geven een client certificaat, dat in onze identity keystore staan, aan een externe server. Deze geeft een certificaat terug en wij kijken in onze keystore of we dit teruggegeven certificaat vertrouwen.
Het kan bijvoorbeeld zijn dat je een client certificaat krijgt van Bloomberg. deze moet je toevoegen aan je identity keystore. Verder moet je in de trust keystore de certificate uit de certificate chain toevoegen (1 of meer)
Als je via de OSB externe partijen wil aanroepen dan gebruiken we de Credential Mapper. Ga naar security realm/Provicders/Credential mapping bij providers zie je de JKS
Als je hier een certificaat aan toevoegt, dan komt deze in de OSB lijstje tevoorschijn
Als je certificaat toevoegt hoef je de servers niet te herstarten. Alleen als je de JKS verplaatst of het wachtwoord wijzigt.
Als een externe partij een service bij ons moet aanroepen dan moeten ze een certificaat gebruiken dat uitgegeven wordt door een party die in onze trust keystore staat.
Geen opmerkingen:
Een reactie posten