Учитывая защищенный SSL сайт, который ранее был в белом списке (Разрешить от x.x.x.x и т. Д.), И требование со стороны клиента изменить способ работы аутентификации, чтобы использовать проверку клиента HTTPS X.509.
Проблема заключается в том, что ни один из «обычных подозреваемых» SSL CA не имеет возможности генерировать сертификаты X.509, не покупая услуги Managed PKI CA.
Я когда-либо делал это только для внутренних клиентов, поэтому достаточно легко создать самозаверяющий ЦС и поместить открытый сертификат ЦС в цепочки ключей клиентов. Для внешних клиентов это сделать немного сложнее, и убедить их сделать это.
Похоже, есть варианты: Пройдите по маршруту управляемой службы PKI. - Видимо, это непомерно дорого, а значит, придется заменить и внутренний СА?
ИЛИ
Получите CA для подписи их корневого сертификата.
Это правильно? Кто-нибудь делал что-то подобное раньше? Кто-нибудь знает приблизительную оценку того, сколько может стоить Trusted Root?
Это не вопрос покупок.
Если клиент желает установить клиентские сертификаты в веб-браузеры своих пользователей для доступа к вашему сайту в любом случае, то использование самозаверяющего ЦС на самом деле не такая уж большая проблема, поскольку вы можете просто добавить этот сертификат, пока вы на это.