我的公司有一个在本地使用并作为Windows服务安装的软件。我们现在使用 .NET core 2.1 向其添加 WebAPI。此API应使用SSL进行保护,如果我们购买证书,则最多可以使用两年。有没有办法自动更新用于HTTPS的证书?一些客户购买了该软件,并且没有像我们希望的那样经常升级。我们如何为他们运送新证书?
更新 07/03: 我们的本地解决方案已经在后端即服务中工作了 6 年(每年进行两次重大更新(。现在我们正在此服务中集成一个 webapi。这里没有 IIS,只是一个自托管的 webapi。我们的服务可以使用我们自己的SSL证书,但是当它过期时,我们需要以某种方式替换它。
如何将 SSL 证书更新发送到正在运行的应用程序?
如果服务器证书由客户端设备信任的 CA 签名,则无需将服务器证书分发到客户端设备。
理想情况下,客户端系统应信任有效期很长(例如 20 年(的证书颁发机构 (CA(。然后,该 CA 向 Web 服务器颁发短期证书(例如 6-12 个月(。客户端将信任这些证书,因为它们由它们信任的 CA 签名。
这就是当今公共网络的运作方式。CA是拥有大型保险政策的公司,如威瑞信,操作系统或浏览器供应商决定谁CA进行削减并被纳入他们通过自己的机制(例如自动更新(管理的证书包中。
因此,一种选择是简单地从公共CA购买HTTPS证书。
您也可以是自己的 CA,但随后需要管理保护高度敏感的根 CA 密钥,以及将 CA 证书分发到所有客户端设备。