Puncte:0

Este posibil să implementați 2 certificate TLS pe ​​un server în același timp?

drapel gb

Am creat CSR și am cerut echipei interne de CA a organizației mele să genereze un certificat pe care l-am implementat apoi pe un server intern. Cu toate acestea, clienții care se conectează la acest server nu aveau încredere în certificat, așa că a trebuit să adaug semnătura cheii la depozitul de chei Java al clienților folosind instrument cheie utilitate.

Acum, acest certificat este pe cale să expire în câteva luni. Este posibil să aveți două certificate instalate pentru a avea un fel de perioadă de tranziție în timp ce noile chei sunt adăugate la toate depozitele de chei ale clienților?

Doar pentru a da un context, sunt sute de clienți, fiecare controlat de o echipă diferită. Deci, înlocuirea cheilor pe toate într-o clipă este cu adevărat dificilă.

Steffen Ullrich avatar
drapel se
Cum ar trebui serverul să decidă ce certificat să furnizeze clientului? Dacă ar accesa o adresă IP diferită sau un nume de server diferit, ar fi posibil, dar este imposibil să trimiteți mai multe certificate de server simultan și să lăsați clientul să aleagă unul. De asemenea, configurația arată ciudat - de ce clienții nu au încredere pur și simplu într-o CA în loc să aibă încredere doar într-un anumit certificat?
drapel cn
Ar fi mai precis să-l numim _truststore_ (acesta este termenul folosit de Java). Puteți pune mai multe certificate în depozitul de încredere, dar metoda standard este introducerea certificatelor CA în depozitul de încredere, nu certificate EE (EE=Entitate finală). PS: magazinul de încredere Java implicit este `$JRE_HOME/lib/security/cacerts`, puteți verifica conținutul acestuia cu `keytool -list`: conține diverse certificate RootCA.
Puncte:1
drapel ar

Acum, acest certificat este pe cale să expire în câteva luni. Este posibil să aveți două certificate instalate pentru a avea un fel de perioadă de tranziție în timp ce noile chei sunt adăugate la toate depozitele de chei ale clienților?

Acesta este un problema X-Y.

Soluția potrivită este să adăugați certificatul CA la depozitele de chei relevante. Petreceți lunile până la expirare adăugând certificatul CA și, când vine timpul să vă reînnoiți certificatul, înlocuiți-l pur și simplu cu un certificat emis de aceeași CA.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.