【问题标题】:Best practice for wildcard SSL certificate renewal in Azure, having pinned mobile applicationAzure 中通配符 SSL 证书续订的最佳实践,已固定移动应用程序
【发布时间】:2018-09-11 18:17:21
【问题描述】:

我们遇到以下情况,需要建议,因为之前没有人使用过固定移动应用程序。

  1. 我们有一个域通配符 SSL 证书,在 Azure - *.example.com 上维护
  2. 证书已应用于多个端点,包括移动应用程序使用的端点。
  3. 移动应用程序已固定此证书。
  4. 证书将在大约 45 天后过期。

更新证书的最佳做法是什么,最好是没有停机时间,或者移动和其他应用程序的停机时间最短?

如果我们更新证书,我们需要将移动应用程序的更新推送到商店。获得商店的批准需要一些时间,在此期间应用程序将无法与后端通信,如果我们直接前进的话。

所以,我们需要有这种经验的人的建议。

提前感谢您的帮助。

【问题讨论】:

  • 能否在不撤销旧证书的情况下获得新证书?私钥会变吗?

标签: azure ssl ssl-certificate certificate-pinning public-key-pinning


【解决方案1】:

唯一可靠的解决方案是:

  1. 立即(提前)获取新证书,获取其详细信息(指纹、公钥、您用于固定的任何其他属性)
  2. 更新移动应用程序(外部端点)以信任现有和新获得的证书。
  3. 将更新推送到适当的商店(客户可以获得新版本的移动应用程序)
  4. 等到当前证书过期,并希望所有客户都更新了他们的应用程序
  5. 将 Web 应用切换到新证书。

也就是说,必须提前获得证书替换,以获取其详细信息,进行更新,有时间传播更新,然后才能在前端更改证书。

【讨论】:

  • 只有一个问题:如何使移动应用程序(外部端点)更新以信任现有和新获得的证书?
  • 只需修补应用程序(我怀疑,您拥有该应用程序)并在商店中推送更新版本。
猜你喜欢
  • 2016-10-25
  • 1970-01-01
  • 2016-03-08
  • 2020-11-10
  • 2011-08-08
  • 2023-03-16
  • 1970-01-01
  • 2012-02-08
  • 2012-05-22
相关资源
最近更新 更多