我正在为我们的微服务构建内部PKI。它现在的工作方式是
有脱机根CA和在线颁发CA
启动微服务
我们设想的是为每个微服务创建一个短期(例如24小时或更短的有效性)证书,当它即将到期或何时到期时,微服务应该生成一个新的CSR并将其签名并继续作为通常。这是否可能,如果朝着这个方向前进,将面临哪些挑战?
答案 0 :(得分:1)
撇开为什么你需要这么低的内部网络刷新时间,你的架构是可行的
考虑:
颁发CA必须在线,并且应该在微服务启动期间处理CSR并返回有效证书,并且响应时间相当短
离线根CA的公共证书应先前包含在每个微服务的信任库中。我建议将其编程包含在内以避免安全风险
检查您的SSL服务器是否可以热插拔,是否可以在启动期间更新证书,或者必须在微服务启动之前完成(不是所有服务器都支持)
请注意,您将无法使用SSL-pinning
实施SSL固定是将服务器证书添加到信任库而不是颁发CA,以避免接受同一CA的其他证书
证书通常在客户端信任库中手动安装离线,但在您的情况下,您必须将每个证书分发给将要使用微服务的客户端。该解决方案不实用,因为您必须将通道发布,将它们分发到每个客户端,安装它们并确保所有步骤都是同步的。
不要忘记必须从信任库中删除旧证书,因为如果它们存在,它们仍然会被客户接受