Совместно используйте папку без запроса аутентификации

Я справляюсь с довольно многими сервисами PKI, таким образом, этот - знакомая загадка.

Везде, где возможно, мы храним CA, включает автономную машину. Это является внутренним к нашей сети компании и размещает ограниченный, если таковые имеются, сервисы. Запрос и подписывающиеся процессы абстрагированы друг от друга посредством простого протокола и небольшого количества ручного нажатия кнопки. Со временем решения, которые мы использовали, попадают в два лагеря:

• Что-то столь же простое как POST HTTPS, который отправляет CSR во внутренний ресурс, подсказки для пароля и возвращает данные CRT, отступает.

• Сделанные на заказ и немного более сложные односторонние API для того, чтобы раскрыть запросы и выставить сертификаты назад. Который на самом деле состоит из триады систем каждый сломанный для выполнения очень определенной части жизненного цикла PKI - точка сбора конечного пользователя, управление лицензиями и подписание.

Откровенно я не советовал бы после последнего, если у Вас нет большого количества времени или хорошей экономической модели. Вы могли копировать что-то как первое. С другой стороны, как womble говорит, Вы могли бы найти, что Ваш объем даже не гарантирует это; если бы Вы уверены в своем веб-сервисе и решаете, что повреждение далеко не распространилось бы.

Одна такая причина, что повреждение как относительно далеко не распространилось бы, состоит в том, что Ваш текущий план включает клиентские закрытые ключи создания самостоятельно. Это предлагает, чтобы это было должно веб-сервер становиться поставленным под угрозу, даже без существующего ключа CA, что у кого-то был бы доступ к действительным клиентским сертификатам и связанным закрытым ключам с доступом к Вашим сервисам так или иначе. Который мог бы хорошо предшествовать созданию Вашего безопасного CA. Идеально клиенты должны создать и быть ответственны за свои собственные закрытые ключи.