많은 수의 컴퓨터에서 SSL 인증서 갱신

Question

클라이언트 - 서버 응용 프로그램에서 SSL 인증서를 사용하고 있습니다. 클라이언트와 서버 모두 곧 만료 될 2 개의 인증서를 사용하고 있습니다. 일반적으로 인증서를 새로운 인증서로 바꾸기 만하면되지만 엄청난 수의 클라이언트로 인해 동시에 인증서를 사용할 수 없습니다. 따라서 서버와 클라이언트의 일부만 업데이트되면 나머지 클라이언트는 더 이상 인증 할 수 없습니다.

빠른 수정은 단순히 인증서의 만료 날짜를 무시하는 버전으로 바이너리를 바꾸는 것입니다. 인증서 업데이트가 만료되기 전에 완료되면 클라이언트의 업데이트를 순차적으로 수행 할 수 있습니다. 불행하게도, 가능한되지는 모든 클라이언트/ 인형을 통해 관리됩니다 때문에 클라이언트

• 에 새 인증서를 밀어

  1. 사용 인형 :

     장기 솔루션 난에 대한 생각

  2. 두 번째 인증서 집합 사용

     • 첫번째 세트가 만료 된 경우, 서버가 새 인증서를해야합니다 이러한 방식으로 두 번째
     • 를 사용, 새로운 인증서와 기존 인증서를해야합니다 클라이언트의 나머지 부분이있을 것이다 클라이언트의 일부하지만 모든
     를 작동

  3. 클라이언트는 현재 인증서가 만료 된 경우 서버에서 새 인증서를 요청합니다.

  다른 해결책이 있습니까?

Answer 1

HTTPS 나 SFTP와 같은 온라인 SSL 연결에 SSL 인증서를 사용한다고 가정합니다.

큰 질문은 다음과 같습니다. 여전히 신뢰하고 서버 측 키를 사용하고 싶습니까? 그렇다면 기존의 키를 사용하여 새 만기 날짜로 서버 인증서를 다시 발행하여 수명을 연장 할 수 있습니다. 문제는 여전히 이전 키를 신뢰하거나 대체해야하는지 여부입니다. 이전 클라이언트는 여전히 그 시점에서 당신에게 연결할 수 있습니다. 당신은 여전히 ​​같은 공개 키/개인 키 쌍을 사용하고 있으며, 인증서의 새로운 평생 버전을 만들었습니다. (이것이 대부분의 공용 서버에서하는 것입니다.)

서버 측의 다른 키에 대해 두 세트의 활성 SSL 인증서를 사용하는 것은 실제로 가능하지 않으며 클라이언트 측에서 핸드 셰이크 프로세스를 잘 제어 할 수 있어야 가능합니다. 서버 응용 프로그램이이를 지원합니다. 문제는 SSL 협상 중에 서버가 먼저 인증서를 보내야하고 클라이언트에서 얻을 수있는 유일한 표시는 ClientHello 중에 ServerName 확장입니다. 클라이언트가 실제로 하나를 보냈다고 가정합니다. 그렇지 않으면 서버는 상대방이 지원할 것 인 지 또는 지원하지 않을지에 대해 '손실'상태입니다. 지원되는 CA 인증서를 나타내는 데 도움이 될 수있는 몇 가지 다른 확장이 있지만 고객이이를 지원해야합니다.

첫 번째 기능은 지원하는 클라이언트에게 가장 실용적입니다. 인증서 (및 키)를 갱신하고 밀어 넣으십시오. 그리고 당신은 그것들로 끝납니다.

다른 사람들은 클라이언트 소프트웨어를 업데이트하고 새로운 키를 생성하고 서버에서 필요에 따라 (또는 미리) 새 인증서를 요청하여 서버에 새로운 인증서를 요청하는 것이 최상의 솔루션 일 수 있습니다.