(Опубліковано на ServerFault замість StackOverflow, оскільки я вважаю, що це стосується конфігурації ОС більше, ніж код програмування).
На даний момент я відповідаю за підтримку системи, яка підключається до стороннього веб-сервісу. Для цього веб-сервісу потрібні сертифікати автентифікації клієнта, що досить справедливо, але сама веб-служба захищена сертифікатом самопідписання, створеним самостійно створеним сертифікатом авторизованого кореневого сертифіката - тим самим коренем, який створює сертифікати автентифікації клієнта.
Достатньо було б просто додати поточний сертифікат послуги до відомого довіреного списку та проігнорувати створений сертифікат авторизації, на жаль, сертифікат служби регулярно змінюється, тому сертифікат авторитету повинен довіряти, щоб програма не зламалася, коли сервісне обслуговування поновлюється.
Однак я (особисто) не довіряю сертифіката CA на основі мого досвіду роботи з компанією, яка працює за веб-сервісом - це не здивувало б мене, якщо воно просочиться в Інтернет - і тривожно, що в сертінгу CA немає обмежень щодо використання ключів це (хоча зовнішні атаки MITM - це можливість, хоч і віддалена, я більше стурбований протікаючим сертифікатом, наприклад, для підписання коду).
Чи можна мені сказати моєму комп’ютеру (наразі серверну коробку, але в майбутньому звичайні скриньки клієнтів для настільних ПК) довіряти CA, але лише для заданого набору ключових звичок та невеликого набору можливих імен предметів (доменних імен )?
На даний момент сервером є Windows Server 2012 R2, але він може працювати на вікні Linux - хоча настільні машини - це всі вікна Windows.