Ho 2 server Windows e vorrei impostare una comunicazione criptata tra di loro usando TLS. Ho letto i certificati TLS e X.509 e penso di avere un piano ragionevole, ma vorrei un feedback per correggere eventuali errori nella mia comprensione di come funziona questa roba. Il mio piano è generare un certificato CA autofirmato utilizzando makecert con l'opzione -cy authority , quindi utilizzare makecert per creare certificati 2 server ( -eku 1.3.6.1.5.5.7.3.1 ) e 2 certificati client ( -eku 1.3.6.1.5.5.7.3.2 ) usando -iv , -ic e -sky exchange opzioni per firmare le licenze client e server utilizzando il certificato CA radice, utilizzare pvk2pfx per creare un file .pfx per ciascuna delle licenze client e server. Quindi, installerei il file .cer per la CA radice su entrambi i server e lo inserirò nella cartella Trusted Root Certification Authorities di Certificates nell'archivio Local Machine . Quindi installerei i file .pfx per 1 server e 1 certificato client su uno dei server in Personal certificati per l'archivio Current User dell'account utilizzato dall'applicazione e fare altrettanto con i restanti certificati server e client su l'altro server. In seguito, proteggerei nella memoria offline o distruggere i file .pvk .
Mi aspetto che una volta fatto ciò, indipendentemente da quale host avvii la comunicazione, l'host che agisce nel ruolo del server sarà in grado di autenticare il client e il client sa che sta comunicando con il server reale (non un in-the-middle).
Si tratta di un piano corretto, logico e sicuro per la configurazione della crittografia tra i due server? In caso contrario, cosa mi manca?