ユーザーの操作なしでクライアント側の SSL 証明書を更新するためのベスト プラクティスは何ですか?
具体的
には、SSL秘密鍵/公開x.509証明書を備えたサーバーがあります。すべてのクライアントは、SSL を介してこのサーバーと通信します。SSL 接続を確立するには、すべてのクライアントがサーバーの公開証明書を信頼できる場所 (トラストストア) にインポートする必要があります。
(クライアント) インストール時にサーバーの証明書を取得することは問題ではありません。これは、インストーラーが (SSL によって) サーバーに接続し、サーバーの公開鍵 (または会社のルート証明書) を取得できるためです。その後、インストーラーは視覚的な検証のために証明書をユーザーに表示できますが、これは十分に安全です。
サーバー証明書 (または企業 CA) の有効期限が切れた後はどうなりますか?
または、サーバー証明書が誤って変更された場合はどうなりますか?
すべてのクライアントを新しいサーバー SSL 証明書 (CA) で (自動的に) 更新するためのベスト プラクティスは何ですか? インストール後、クライアントはバックグラウンド プロセスであり、視覚的なユーザー インタラクションは不可能であることに注意してください。
もちろん、最も簡単な方法は、インフラ管理者がすべてのクライアントを手動で更新することです。
ユーザーの介入なしにクライアントの証明書を自動的に更新するための既知の良い方法があるかどうか疑問に思っていますか?