マイクロサービス用の内部PKIを構築しています。それが今の仕組みがあり、オフラインルートCAだとオンラインmicroserviceを起動実行時に定期的にSSL証明書を変更する
を発行すると、鍵ペアを生成し
で、CSRとキーストア
マイクロサービスごとに短期間(たとえば24時間以下)の証明書を作成することを想定し、有効期限が切れる時期または期限が切れる時期に新しいサービスを生成し、署名して継続する必要がありますいつものように働く。これは可能なのでしょうか、この方向に向かうためにはどのような課題に直面していますか?あなたは、内部ネットワークのために、このような低リフレッシュ時間を必要とする理由はともかく
、あなたのアーキテクチャは
を考慮することが実行可能である:
発行CAがオンラインでなければならず、CSRとリターンを処理する必要がありますマイクロサービスの起動時に有効な証明書で、応答時間がかなり短い。
オフラインルートCAの公開証明書は、各マイクロサービスのトラストストアに事前に含める必要があります。セキュリティ上のリスクを避けるためにプログラム的に含めることをお勧めします
SSLサーバがホットスワップ可能で、起動時に証明書を更新できるかどうかを確認するか、マイクロサービス開始前に行う必要がありますあなたはSSLピニング
SSLピニングを使用することはできません)
注は、他のCを避けるために、代わりに発行するCAのトラストストアにサーバー証明書を追加実装されています同じCAのertificateが受け入れられます
通常、証明書はクライアントトラストストアで手動でインストールされますが、お客様の場合は、マイクロ証明書を使用するクライアントに各証明書を配布する必要があります。このソリューションは、チャネルを暗号化し、各クライアントに配布し、インストールし、すべてのステップが同期していることを確認する必要があるため、実用的ではありません。
は、彼らが存在している場合、彼らはまだ、クライアント
によって受け入れられるので、古い証明書は、トラストストアから削除されなければならないということも忘れてはいけない私の質問に答えるために、あなたの時間を割いていただき、ありがとうございます。発行CA証明書のCAピンニングが可能な場合、なぜ私はSSLピンニングを使用できないのでしょうか? – kimathie
sslの固定が使用できない理由について、更新された回答を参照してください。 – pedrofb
私の訂正は、CAがルートCA証明書でピンを固定していることを意味していました。はい、私は今、証明書の配布が問題であるということを指摘してくれてありがとうございます。 – kimathie