Каков наилучший способ обновления цифровых сертификатов от сервера ко многим клиентам по истечении срока действия сертификата?

Question

Один из моих друзей работает над проблемой, связанной с обновлением цифровых сертификатов с истекшим сроком действия.

Он работает над приложением Java (кажется, качается), в котором работает 4000 клиентов. Все, кому нужен цифровой сертификат для подключения к приложению, и этот сертификат истекает каждый год. В конце года ему необходимо обновить учетные данные для всех клиентов. В настоящее время это ручной процесс, выполняемый путем подключения к каждой из 4000 систем либо локально, либо путем удаленного подключения.

У него есть задача превратить этот процесс в автоматизированный процесс.

Answer 1

Обычно клиентский сертификат (используемый при аутентификации клиента на сервере) должен быть передан клиенту физически (на перевозчике), в противном случае, если сертификат отправлен по электронным каналам, существует высокий риск перехват. Но если используется безопасное соединение, проблема становится менее критичной.

Таким образом, ответ зависит от того, как создается клиентское приложение. Самый простой подход - добавить возможности для обновления сертификата (до, который истекает) прямо из приложения. Приложение будет запрашивать свежий сертификат с сервера.

Если такие возможности не встроены, и их невозможно добавить, ответ будет зависеть от того, где клиентское приложение хранит сертификат, используемый для аутентификации. Если это какой-то файл, автоматизация подключения к удаленному рабочему столу с использованием какого-либо инструмента автоматизации будет единственным выбором.