假设我有一个签名 CA
我想将签名 CA PEM 分发给我的客户
分发 PEM 的最佳实践是什么?
- 只允许公开下载?
- 仅适用于登录用户?
- 还有其他机制吗?
似乎提供公共(public)或至少受限制的下载链接就完全足够了。这是正确的还是我遗漏了什么?
最佳答案
证书没有 secret ,它们通常作为权威信息访问链的一部分发布到未经身份验证的 HTTP(不是 S,尽管您可以两者都做)。
如果您是自签名/根 CA,则存在信任引导问题,您的用户必须相信您就是您(并且他们不会从中间人那里获得错误的证书) )。 HTTPS 端点可以帮助解决这个问题;与将证书嵌入到 Authenticode 或其他签名的客户端工具中一样。
关于security - 如何正确分配根CA?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44039241/