如何正确分配根 CA?
How to correctly distribute root-CA's?
假设我有一个签名 CA
我想将签名 CA PEM 分发给我的客户
分发 PEM 的最佳做法是什么?
- 只允许 publicly 被下载?
- 仅供登录用户使用?
- 还有其他机制吗?
似乎提供 public 或至少限制下载 link 就完全足够了。这是正确的还是我遗漏了什么?
证书没有秘密,作为授权信息访问链的一部分,它们通常会发布到未经身份验证的 HTTP(不是 S,尽管您可以同时执行这两种操作)。
如果您是 self-signed/root CA,则存在信任引导问题,您的用户必须相信您就是您(并且他们不会从 Man in中间)。 HTTPS 端点对此有所帮助;将证书嵌入 Authenticode 或其他签名的客户端工具也是如此。
假设我有一个签名 CA
我想将签名 CA PEM 分发给我的客户
分发 PEM 的最佳做法是什么?
- 只允许 publicly 被下载?
- 仅供登录用户使用?
- 还有其他机制吗?
似乎提供 public 或至少限制下载 link 就完全足够了。这是正确的还是我遗漏了什么?
证书没有秘密,作为授权信息访问链的一部分,它们通常会发布到未经身份验证的 HTTP(不是 S,尽管您可以同时执行这两种操作)。
如果您是 self-signed/root CA,则存在信任引导问题,您的用户必须相信您就是您(并且他们不会从 Man in中间)。 HTTPS 端点对此有所帮助;将证书嵌入 Authenticode 或其他签名的客户端工具也是如此。