安全证书参考
您可以使用 Trust uploaded certificates and any certificates signed by a trusted authority 或 Trust uploaded certificates 到以下方法将助手连接到用户指定的外部服务:
- 定制扩展
- 对话技巧
- Premessage, Postmessage,和 Log webhooks
- 搜索集成(Discovery搜索集成除外)
您无需进行安全验证即可 Discovery 搜索整合,因为连接由内部管理并自动保护。
选择安全证书选项的方法
在方法示例中,讨论了三种可能的安全证书选项,您可以使用这些选项为具有以下连接信息的助手实现安全性和便利性的最佳平衡。
考虑一个有以下连接的助手:
- 三种对话技能,每种技能都指向不同的安全服务。 这三项服务均由同一个私营机构签署。
- 两个自定义扩展,每个扩展都指向一个安全服务,该服务的证书由同一受公众信任的机构签署。
- 一个搜索集成,通过自签名证书连接到 Elasticsearch (这是 IBM Cloud Elasticsearch的典型做法)。
- 一个日志网络挂钩,指向一个不安全的服务 URL 以
http://开头,而不是https://)。
不建议指向不安全的服务,您的助手也无法验证此类服务的身份。
方法 1
- 创建一个包含以下内容的PEM文件:
- 为实现会话技能的三个安全服务签署证书的私人机构的证书。
- Elasticsearch 实例的自签名证书。
- 选择信任上传的证书和任何由可信机构签署的证书。
分析
- 更方便的选择
- 您无需额外操作即可使用这两个自定义扩展,因为它们指向的服务具有由公共权威机构签发的证书
- 您只需要一份证书即可证明三种会话技能,因为它们都是由同一机构颁发的,而该机构的证书已包含在PEM文件中
- 您可以添加更多连接到证书也由同一机构签发的服务,而无需更新 PEM 文件
方法 2
- 创建一个包含以下内容的PEM文件:
- 为实现会话技能的三个安全服务签署证书的私人机构的证书。
- 该证书由一家公开受信任的权威机构签署,该机构为实施自定义扩展的两个安全服务签署了证书。
- Elasticsearch 实例的自签名证书。
- 选择信任上传的证书。
分析
- 不太方便,因为PEM文件需要额外输入自定义扩展的授权证书
- 如果将来添加了由公共信任机构签署的其他服务,您必须更新 PEM 文件。
- 安全性稍高,因为它只依赖于一个公开认可的权威机构,而不是依赖于所有公开认可的权威机构
- 对于大多数用户来说,安全方面的微弱优势并不重要,因为所有公开可信的机构都极为安全
方法 3
- 创建一个包含以下内容的PEM文件:
- 助手连接的六个安全服务的六个证书(三个用于对话技能,两个用于自定义扩展,一个用于 Elasticsearch)。
- Elasticsearch 实例的自签名证书。
- 选择信任上传的证书。
分析
- 不太方便,因为PEM文件需要更多的证书
- 需要更新PEM文件,以添加任何其他服务调用
- 安全性稍高,因为它不假定任何公共或私人认证机构都是安全的
- 大多数用户不需要额外的安全保护,因为公共认证机构非常安全,而私人认证机构由您自己控制,因此也是安全的。
- 如果您希望获得最大的安全保障,可以选择此项。
您的助手不会以任何方法验证日志网络挂钩服务,因为日志网络挂钩指向一个不安全的伺服器,而调用日志网络挂钩仍然有效。 但是,该服务收发的信息缺乏加密,因此很容易受到冒名顶替的攻击。
解决漏洞的最佳方法:
- 通过实施
https使服务更加安全。 - 更新助手,调用
https端点。 - 如有需要,更新助手的 PEM 文件。