在没有用户交互的情况下更新客户端SSL证书的最佳做法是什么?
更具体一点:
我有一个SSL私钥/公共x.509证书的服务器。
所有客户端都将通过SSL与此服务器通信。
为了建立SSL连接,所有客户端都需要将服务器的公共证书导入其受信任位置(信任库)。
在(客户端)安装时获取服务器证书不是问题,因为安装程序可以联系服务器(通过SSL)并获取服务器的公钥(或公司的根证书)。之后,安装程序可以向用户显示证书以进行可视化验证,这是足够安全的。
服务器证书(或公司CA)到期后会发生什么? 或者如果服务器证书被意外更改会发生什么?
使用新服务器SSL证书(CA)(自动)更新所有客户端的最佳做法是什么?请记住,安装后客户端是后台进程,而不是可视用户交互。
当然,最简单的方法是由基础结构管理员手动更新所有客户端。
我想知道是否有一些已知的良好做法可以在没有用户干预的情况下自动更新客户端的证书?
答案 0 :(得分:0)
理想情况下,您的服务器证书应由具有较长生命周期(10到20年)的受信任根CA证书颁发和签名。只有根CA证书将安装在客户端。
服务器证书本身,即使您每年更新一次,也不需要传播给客户端,因为root用户签名并且信任它。
如果您使用的是自签名证书,那么从证书管理的角度来看,这通常是不受欢迎的原因。当它们过期或更改时,您需要每个人都进行更新 - 否则您将收到浏览器安全警告。