IBM Cloud Docs
Referenz der Sicherheitszertifikate

Referenz der Sicherheitszertifikate

Sie können Trust uploaded certificates and any certificates signed by a trusted authority oder Trust uploaded certificates für die folgenden Methoden verwenden, um einen Assistenten mit einem von einem Benutzer angegebenen externen Dienst zu verbinden:

Für die Suchintegration Discovery ist keine Sicherheitsüberprüfung erforderlich, da die Verbindungen intern verwaltet und automatisch gesichert werden.

Methoden zur Auswahl der Option Sicherheitszertifikate

In den Methodenbeispielen werden drei mögliche Sicherheitszertifikatsoptionen besprochen, mit denen Sie ein optimales Gleichgewicht zwischen Sicherheit und Komfort für einen Assistenten mit den folgenden Verbindungsdetails erreichen können.

Stellen Sie sich einen Assistenten mit den folgenden Verbindungen vor:

  • Drei Gesprächsfähigkeiten, von denen jede auf einen anderen sicheren Dienst verweist. Alle drei Dienste werden von der gleichen privaten Behörde unterzeichnet.
  • Zwei benutzerdefinierte Erweiterungen, die jeweils auf einen sicheren Dienst verweisen, dessen Zertifikat von derselben öffentlich vertrauenswürdigen Stelle unterzeichnet ist.
  • Eine Suchintegration, die mit Elasticsearch mit einem selbstsignierten Zertifikat verbunden ist (was typisch für Elasticsearch in IBM Cloud ist).
  • Ein Log-Webhook, der auf einen unsicheren Dienst verweist (mit URL, die mit http:// statt mit https:// beginnt).

Es wird nicht empfohlen, auf einen unsicheren Dienst zu verweisen, und Ihr Assistent kann die Identität eines solchen Dienstes nicht überprüfen.

Methode 1

  1. Erstellen Sie eine PEM-Datei, die Folgendes enthält:
    • Das Zertifikat der privaten Behörde, die die Zertifikate für die drei sicheren Dienste signiert hat, die die Konversationsfähigkeiten implementieren.
    • Das selbstsignierte Zertifikat für die Elasticsearch-Instanz.
  2. Wählen Sie „Hochgeladenen Zertifikaten und allen von einer vertrauenswürdigen Zertifizierungsstelle signierten Zertifikaten vertrauen“ aus.

Analyse

  • Bequemere Option zur Nutzung
  • Sie müssen keine zusätzlichen Anstrengungen unternehmen, damit die beiden benutzerdefinierten Erweiterungen funktionieren, da die Dienste, auf die sie verweisen, über Zertifikate verfügen, die von einer öffentlich vertrauenswürdigen Stelle signiert sind
  • Sie benötigen nur ein Zertifikat für die drei Konversationsfähigkeiten, da sie alle von derselben Behörde unterzeichnet wurden und das Zertifikat für diese Behörde in der PEM-Datei enthalten war
  • Sie können weitere Verbindungen zu Diensten hinzufügen, deren Zertifikate ebenfalls von derselben Behörde signiert sind, ohne die PEM-Datei zu aktualisieren

Methode 2

  1. Erstellen Sie eine PEM-Datei, die Folgendes enthält:
    • Das Zertifikat der privaten Behörde, die die Zertifikate für die drei sicheren Dienste signiert hat, die die Konversationsfähigkeiten implementieren.
    • Die Bescheinigung für die öffentlich vertrauenswürdige Stelle, die die Zertifikate für die beiden sicheren Dienste unterzeichnet hat, die die benutzerdefinierten Erweiterungen implementieren.
    • Das selbstsignierte Zertifikat für die Elasticsearch-Instanz.
  2. Wählen Sie "Vertrauen in hochgeladene Zertifikate ".

Analyse

  • Weniger praktisch, da die PEM-Datei einen zusätzlichen Eintrag für das Autorisierungszertifikat der benutzerdefinierten Erweiterungen erfordert
  • Sie müssen die PEM-Datei aktualisieren, wenn in Zukunft weitere Dienste hinzugefügt werden, die von öffentlich vertrauenswürdigen Stellen signiert sind.
  • Etwas sicherer, da es nur darauf ankommt, dass die eine öffentlich als vertrauenswürdig eingestufte Behörde sicher ist, anstatt dass alle öffentlich als vertrauenswürdig eingestuften Behörden sicher sind
  • Der leichte Sicherheitsvorteil ist für die meisten Benutzer nicht wichtig, da alle öffentlich vertrauenswürdigen Behörden extrem sicher sind

Methode 3

  1. Erstellen Sie eine PEM-Datei, die Folgendes enthält:
    • Die sechs Zertifikate für die sechs sicheren Dienste, mit denen sich der Assistent verbindet (drei für Konversationsfähigkeiten, zwei für benutzerdefinierte Erweiterungen und eines für Elasticsearch).
    • Das selbstsignierte Zertifikat für die Elasticsearch-Instanz.
  2. Wählen Sie "Vertrauen in hochgeladene Zertifikate ".

Analyse

  • Weniger praktisch, da mehr Zertifikate in der PEM-Datei erforderlich sind
  • Erfordert eine Aktualisierung der PEM-Datei, um zusätzliche Serviceanrufe hinzuzufügen
  • Etwas sicherer, da nicht davon ausgegangen wird, dass eine öffentliche oder private Zertifizierungsstelle sicher ist
  • Die meisten Benutzer benötigen diese zusätzliche Sicherheit nicht, da die öffentlichen Zertifizierungsstellen äußerst sicher sind und die private Zertifizierungsstelle von Ihnen kontrolliert wird und daher sicher sein kann.
  • Diese Option ist verfügbar, wenn Sie die größtmögliche Sicherheit wünschen.

Ihr Assistent überprüft den Log-Webhook-Dienst bei keiner der Methoden, da der Log-Webhook auf einen unsicheren Server verweist und der Aufruf des Log-Webhook weiterhin funktioniert. Die an den Dienst gesendeten und von ihm empfangenen Nachrichten sind jedoch unverschlüsselt, was sie anfällig für Betrugsversuche macht.

Der beste Weg, die Schwachstellen zu beseitigen:

  • Erhöhen Sie die Sicherheit des Dienstes durch die Implementierung von https.
  • Aktualisieren Sie Ihren Assistenten, um diesen https Endpunkt aufzurufen.
  • Aktualisieren Sie die PEM-Datei für Ihren Assistenten, falls erforderlich.