2
사용자 상호 작용없이 클라이언트 쪽 SSL 인증서를 업데이트하는 가장 좋은 방법은 무엇입니까?PKI SSL 인증서 업데이트에 대한 유용한 정보
자세한 내용은 다음과 같습니다.
SSL 개인 키/공개 x.509 인증서가있는 서버가 있습니다. 모든 클라이언트는 SSL을 통해이 서버와 통신합니다. SSL 연결을 설정하려면 모든 클라이언트가 서버의 공용 인증서를 신뢰할 수있는 위치 (truststore)로 가져와야합니다.
설치 프로그램이 (SSL을 통해) 서버에 접속하여 서버의 공개 키 (또는 회사의 루트 인증서)를 얻을 수 있으므로 (클라이언트) 설치 시간에 서버의 인증서를 가져 오는 것은 문제가되지 않습니다. 그 후에 설치자는 시각적 인 확인을 위해 사용자에게 인증서를 보여줄 수 있으며 이는 충분히 안전합니다.
서버 인증서 (또는 회사 CA)가 만료 된 후에는 어떻게됩니까?
또는 서버 인증서가 실수로 변경되면 어떻게됩니까?
모든 클라이언트를 새 서버 SSL 인증서 (CA)로 (자동으로) 업데이트하는 가장 좋은 방법은 무엇입니까? 설치 후 클라이언트는 백그라운드 프로세스이며 시각적 인 사용자 상호 작용이 가능하지 않습니다.
물론 가장 쉬운 방법은 인프라 관리자가 모든 클라이언트를 수동으로 업데이트하는 것입니다.
사용자 개입없이 클라이언트의 인증서를 자동으로 업데이트하는 좋은 방법이 있는지 궁금합니다.
감사합니다. 스콧! "모든 클라이언트를 새 서버 SSL 인증서 (CA)로 (자동) 업데이트하는 모범 사례는 무엇입니까?"라는 질문의이 부분은 어떻습니까? 루트 CA가 만료되거나 자동으로 업데이트되는 최상의 방법 (사용자 개입없이)이 손상되었다는 것을 의미합니까? – user291529
사용중인 클라이언트 소프트웨어가 "링크 인증서"를 지원하는 경우 클라이언트는 기존 인증서를 신뢰하면 새 루트 CA 인증서를 자동으로 신뢰할 수 있습니다. 링크 인증서 (적어도 "순방향 링크 인증서")는 이전 루트 CA 서명 키로 서명 된 새 루트 CA 인증서의 복사본입니다. 링크 인증서는 일반적으로 클라이언트가 확인하는 디렉토리 서버 항목에 게시됩니다. 지원되는지 확인하고 CA 소프트웨어가 링크 인증서 생성을 지원하는지 여부를 확인하려면 소프트웨어 설명서를 확인해야합니다. –