распределенная обработка сертификата PKI - делает его удобным для пользователя

Question

У меня есть Сервер и N количество клиентов, установленных на разных хостах. Каждый хост имеет свой подписанный сертификат, сгенерированный во время установки. На этом этапе аутентификация клиента включена. Это означает, что они не могут общаться друг с другом, пока эти сертификаты не будут должным образом импортированы, как описано ниже.

Теперь серверу необходимо импортировать все сертификаты клиентов. Так делают все клиенты с этого единственного сервера. Эта часть не очень удобна для пользователя во время установки, так как клиент или сервер могут быть установлены независимо друг от друга в любое время. Как лучше импортировать сертификаты между клиентами и сервером без необходимости выполнения каких-либо дополнительных ручных действий?

PS: инструмент PKI, который я использую, может импортировать / экспортировать сертификаты только на локальном компьютере. Предположим, я не могу сейчас изменить этот инструмент.

Answer 1

В общем, это одна из проблем с PKI. Безопасно распространять сертификаты в автоматическом режиме.

В среде домена Active Directory у вас уже есть доверие Kerberos. Поэтому вы можете использовать групповую политику для автоматического распространения сертификатов. Не знаю, относится ли это к вам, потому что вы не предоставили информацию о вашей среде / ОС и т. Д.