TLS建议

Question

我有一种产品想卖。该产品分为两个物理设备，并遵循客户端服务器架构。一个设备是服务器，另一个是客户机。我希望使用TLS来保护服务器和客户端之间的连接。

我想设置一个服务器端的TLS。我已经研究过如何使用openssl来完成这个任务。我目前的策略如下

• 创建CA证书
• 创建服务器证书
• 使用CA签署服务器证书

在这里我很难找到解决办法。我需要支持一个解决方案，在这两个设备无法访问互联网。

• 如何与客户共享我的CA以完成TLS握手？据我所知，TLS使用第三方对证书进行身份验证，因此，如果我与CA公司签署了我的证书，您将需要访问互联网。
• 如果我在生产中与cleint设备共享CA。这对于初始安装是有效的，但是一旦CA证书过期，我需要更新它。我是否只是使用API调用从服务器获取CA。我每次都要在机器上加些东西吗？有没有什么最佳做法。
• 最后，从运行服务器的设备上运行的脚本每90天重新生成CA证书是否是一种糟糕的做法？

Answer 1

如果您只有两个设备，并同时控制这两个设备，那么在这两个设备之间使用某种共享秘密(PSK)可能比使用ersatz更加方便和安全。只需确保这是一个不同的，随机的，PSK每个设备对，并确保所有者实际上可以改变他们。对于使用PSK套件的TLS来说，这是可行的(TLS1.2参见RFC 5489，TLS1.3为RFC 7905 )，但类似IPsec或Wireguard之类的东西也是完全可行的。