在沒有用戶交互的情況下更新客戶端SSL證書的最佳做法是什麼?PKI更新SSL證書的最佳實踐
更具體的:
我有一個SSL私鑰/公共x.509證書的服務器。 所有客戶端都將通過SSL與此服務器進行通信。 爲了建立SSL連接,所有客戶端需要將服務器的公共證書導入到他們的信任位置(truststore)。
獲取服務器的證書在(客戶端)安裝時是沒有問題的,因爲安裝程序與服務器(通過SSL),並獲取服務器的公鑰(或本公司的根證書)。之後,安裝程序可以將證書顯示給用戶進行視覺驗證,並且這足夠安全。
服務器證書(或公司CA)過期後會發生什麼?
或者如果服務器證書被意外更改會發生什麼情況?
什麼是使用新服務器SSL證書(CA)(自動)更新所有客戶端的最佳做法?考慮到在安裝之後客戶端是後臺進程並且不是可能的視覺用戶交互。
當然,最簡單的方法是由基礎設施管理員手動更新所有客戶端。
我想知道是否有一些已知的良好做法,自動更新客戶端的證書,無需用戶干預?
謝謝Scott!問題的這一部分是什麼:「使用新服務器SSL證書(CA)自動更新所有客戶端的最佳實踐是什麼?」?我的意思是在根CA過期或受到危害後,自動更新的最佳做法是什麼(無需用戶干預)? – user291529 2011-04-21 09:49:10
如果您使用的客戶端軟件支持「鏈接證書」,那麼您的客戶端如果信任現有的根CA證書,就可以自動信任該新的根CA證書。鏈接證書(至少是「前向鏈接證書」)是由上一個根CA簽名密鑰簽署的新根CA證書的副本。鏈接證書通常發佈在客戶端知道檢查它的目錄服務器條目中。您需要檢查軟件的文檔以查看它是否受支持,以及您的CA軟件是否支持生成鏈接證書。 – 2011-04-25 00:23:38