0
我有一臺服務器和N個客戶端安裝在不同的主機上。每臺主機在安裝過程中都會生成自簽名證書。此時客戶端身份驗證已打開。這意味着在下面描述的正確導入這些證書之前,他們不能相互溝通。分佈式PKI證書處理 - 使其用戶友好
現在,服務器需要導入所有客戶端的證書。因此,從這臺服務器上的所有客戶端。由於客戶端或服務器可以在任何時間彼此獨立安裝,所以在安裝過程中這部分用戶不太友好。 在用戶不必執行某種帶外手動步驟的情況下,在客戶端和服務器之間導入證書的更好方法是什麼?
PS:我正在使用的PKI工具只能在本地機器上導入/導出證書。假設我目前無法更改此工具。
在安裝映像本身中預填充客戶端和服務器的自簽名證書有什麼含義?以下是部署配置:要安裝的私有安全網絡中有1個服務器和6個客戶端。服務器鏡像中的密鑰庫已經包含了它自己的證書和所有6個客戶端的1個證書。客戶端映像具有服務器證書+自己的證書。圖像安裝完成後,PKI設置完全配置。這意味着,可以說你把你的產品賣給10位顧客。他們都有相同的證書!但這些都是pvt網絡。有關係嗎?假設沒有AD域。 – tushima 2011-04-21 23:10:57
爲什麼使用自簽名證書?一旦這些到期,所有節點都必須更新 - 即使在專用網絡中也會造成可怕的維護頭痛。你沒有選擇使用CA頒發的證書嗎? CA本身可能是一個非常長的時間(10 - 20年),然後客戶只需要相信它,而不是個人證書。 – 2011-04-22 00:21:05
好吧,自簽名證書也可以用很長的到期日期(10年)來創建,並且總是有一些交付機制,比如軟件的補丁和升級。但是我的主要問題仍然與我所說的上述情況有關。 – tushima 2011-04-22 16:19:32