StreamServer推理服务所需的证书由集成的第三方提供,StreamServer推理服务不对证书做管理,需要由集成的第三方提供证书管理服务。
证书管理服务应周期性地对设备本地使用的各种类型的证书的有效性和可使用性进行检查。参考方案如下:
- 证书格式及内容要求。
- 使用X509v3格式的证书,且使用安全的证书签名算法。
- 使用安全随机数生成密钥对,且必须使用至少3072位,推荐使用3072位。
- 证书应设置合理的有效期。
- 提供证书导入功能,导入时对内容、签名算法和密钥长度做校验。
- 证书的私钥应使用基于口令的加密机制保存,私钥保护口令应满足复杂度要求并加密保存,同时控制私钥文件和证书文件的访问权限。
- 证书与私钥信息有相应的完整性保护机制,防止因信息破坏导致业务中断。
- 禁止提供导出证书私钥的功能或接口。
- 支持证书到期检查和更新。
- 具备验证对端数字证书是否被吊销的能力。