多个客户端向多个服务器进行身份验证的最佳方法是什么?我考虑使用基于令牌的系统,为每个客户端生成一个令牌,并添加自定义脚本来验证这一点。但这意味着用户容易受到 MITM 攻击,因为他们不使用密钥。但为每个服务器生成一个客户端,然后必须为每个服务器重置服务器和文件是不可接受的。这也使得撤销非常困难。向多个服务器验证多个用户的最佳方法是什么?
也许我可以使用基于令牌的方法,让每个用户使用相同的 .crt(或者是 .pem?),只是为了确认服务器的真实性以防止 MITM 攻击。
答案1
我认为最好的方法是生成证书(基于 PKI 解决方案)。然后,您可以为每个服务器获得一个服务器证书,并为每个客户端获得一个客户端证书。在这种情况下,最简单的方法是使用 PKCS12 格式,该格式嵌入了完整的链,包括 CA、子 CA 和私钥。
然后,为了管理撤销,您可以使用 OCSP 响应器,它将负责响应撤销状态请求。
Easy-RSA 可以处理这个简单的 PKI。