假设我有签名CA
我想将签名CA PEM分发给我的客户
分发PEM的最佳做法是什么?
似乎提供公共或至少受限制的下载链接就足够了。这是正确的还是我错过了什么?
答案 0 :(得分:2)
证书没有秘密,他们会定期发布到未经身份验证的HTTP(不是S,但您可以同时执行这两项操作)作为授权信息访问链的一部分。
如果你是一个自签名/根CA,那就是信任引导问题,你的用户必须坚信自己就是你(而且他们不会弄错)来自中间人的证明。 HTTPS端点有助于此;将证书嵌入Authenticode或其他方式签名的客户端工具中也是如此。