0

ACME 経由で証明書に署名できる中間 CA の使用を検討しています。SSL を使用するインターネット上でアクセスできない多数の内部 Web サーバーがあり、それらはすべて手動で管理する必要があります。CA機関がすべての内部マシンにインストールされている内部CAがすでにあります。既存の機関から提供された証明書を使用してステップ CA をインストールし、ACME を使用して証明書に署名するために使用できるようにしたいと考えていました (すべてのサーバーは DNS 内にあり、この DNS は内部で管理されているため、DNS 名のチェックは有効なチェックです)。 .

私はほとんどの方法を取得できますが、set-ca は常にサービスの ACME 部分に自己署名証明書を使用しているようです。そのため、certbot または何でも ACME サービスに接続すると、自己署名証明書のために証明書エラーが生成されます。通信に使用していることを確認します (最終的には検証可能なものを発行しますが)。

これに対処した経験のある人はいますか?関連するすべてのサーバーに自己署名証明書をインストールすることもできますが、この種の ACME を使用する意味がなくなります。多くのマシンで 6 か月ごとに手動で証明書を更新しなければならない場合は、保持した方がよいでしょう。現在のプロセスで。

4

2 に答える 2

0

現在、私は自分のテーブルで同じ課題を抱えています。ACME エンド ツー エンド プロセスをセットアップしようとしています。すべての内部サービス/サーバーに対して完全に自動化された証明書プロセスが必要です。アイデアは、証明書の手動操作を排除することです。

step-ca をインストールして実行し、それを ACME サーバーとして使用することに成功しましたが、CA 証明書自体をすべてのサーバー/サービスのトラスト ストアに (手動で) 配布する必要があります。

とにかく、これまでのところ、私が見つけた最も近い答えは次のとおりです。https://smallstep.com/docs/tutorials/intermediate-ca-new-ca

したがって、質問に対するより良い解決策を既に見つけている場合は、ここで共有してください。

于 2021-08-31T18:15:33.467 に答える