自动csr发送

Question

在我们的项目中，我们有grpc服务器和客户端，它们应该满足相互的tls。因此，有CA和客户端生成csr发送给CA对其进行签名。现在，我需要手动发送csr到CA来签名，也需要手动地返回到客户端。如果有很多客户，就会变得不方便。

当然，我可以添加一个额外的服务器来接收请求并发送回来，但我认为这是一个复杂的问题，我正在努力寻找一个普遍接受的方案。

我是这个主题的新手。如何正确组织？或者使用一个简单的现成的解决方案。

Answer 1

阿克梅协议是由互联网安全研究小组设计的，由我们加密来签署域验证的TLS证书。由于GRPC的传输是HTTP/2，它使用TLS进行加密和身份验证(如果启用的话)，这应该是您想要的。

Answer 2

您可以在浏览器中使用浏览器扩展提供的JavaScript API直接从web应用程序中生成CSR。密钥对将在用户的证书存储库或Smartcard或USB令牌中生成，并将得到的CSR发送到CA Server进行签名，然后将用户的证书(和信任链)返回给用户浏览器，用户浏览器可以下载(导入)到证书存储，或者Smartcard或USB令牌。

请参阅此堆栈溢出答案的流程图和JavaScript提供的Signer.Digital浏览器扩展。

Signer.Digital生成CSR并下载证书流和演示