Каков наилучший способ обновления цифровых сертификатов с сервера для многих клиентов после истечения срока действия сертификата?

Question

Один из моих друзей работает над вопросом, связанным с обновлением цифровых сертификатов с истекшим сроком действия.

Он работает над Java-приложением (я думаю, Swings), которое имеет 4000 клиентов. Всем им нужен цифровой сертификат для подключения к приложению, и этот сертификат истекает каждый год. В конце года ему необходимо обновить учетные данные сертификата для всех клиентов. В настоящее время это ручной процесс, осуществляемый путем подключения к каждой из 4000 систем локально или удаленно.

У него есть задача преобразовать этот процесс в автоматизированный процесс.

Answer 1

Обычно сертификат на стороне клиента (используемый для аутентификации клиента на сервере) необходимо физически передать клиенту (на носителе), в противном случае, если сертификат отправляется по электронным каналам, существует высокий риск перехвата , Но если используется безопасное соединение, проблема становится менее критичной.

Таким образом, ответ зависит от того, как построено клиентское приложение. Самый простой подход - добавить возможности обновления сертификата ( до истечения срока действия ) прямо из приложения. Приложение будет запрашивать новый сертификат с сервера.

Если такие возможности не встроены и их невозможно добавить, ответ будет зависеть от того, где клиентское приложение хранит сертификат, используемый для аутентификации. Если это какой-то файл, то единственным выбором будет автоматизация подключения к удаленному рабочему столу с использованием какого-либо средства автоматизации.