多个客户端对多个服务器进行身份validation的最佳方式是什么? 当我为每个客户端生成一个令牌时,我正在考虑一个基于令牌的系统,并添加了一个自定义脚本来validation这一点。 但是这意味着用户很容易受到MITM攻击,因为他们没有使用密钥。 但是为每个服务器生成一个客户端,然后不得不重置服务器和每个服务器的文件是不可接受的。 这也使撤销非常困难。 什么是最好的方法来authentication多个用户到多个服务器?
也许我可以使用基于令牌的方法,并让每个用户使用相同的.crt(或者是.pem ??),只是为了确认服务器的真实性,以防止MITM攻击。
我认为最好的办法是生成证书(基于PKI解决scheme)。 然后,您可以为每个服务器拥有一个服务器证书,也可以为每个客户端拥有一个客户端证书 在这种情况下最简单的方法是使用embedded完整链的PKCS12格式,使用CA,sub-ca和私钥。
然后,为了pipe理吊销,您可以使用一个OCSP响应者,负责响应吊销状态请求。
Easy-RSA可以处理这个简单的PKI。