Ho 2 server Windows e vorrei impostare una comunicazione criptata tra di loro usando TLS. Ho letto i certificati TLS e X.509 e penso di avere un piano ragionevole, ma vorrei un feedback per correggere eventuali errori nella mia comprensione di come funziona questa roba. Il mio piano è generare un certificato CA autofirmato utilizzando makecert
con l'opzione -cy authority
, quindi utilizzare makecert
per creare certificati 2 server ( -eku 1.3.6.1.5.5.7.3.1
) e 2 certificati client ( -eku 1.3.6.1.5.5.7.3.2
) usando -iv
, -ic
e -sky exchange
opzioni per firmare le licenze client e server utilizzando il certificato CA radice, utilizzare pvk2pfx
per creare un file .pfx
per ciascuna delle licenze client e server. Quindi, installerei il file .cer per la CA radice su entrambi i server e lo inserirò nella cartella Trusted Root Certification Authorities
di Certificates
nell'archivio Local Machine
. Quindi installerei i file .pfx
per 1 server e 1 certificato client su uno dei server in Personal
certificati per l'archivio Current User
dell'account utilizzato dall'applicazione e fare altrettanto con i restanti certificati server e client su l'altro server. In seguito, proteggerei nella memoria offline o distruggere i file .pvk
.
Mi aspetto che una volta fatto ciò, indipendentemente da quale host avvii la comunicazione, l'host che agisce nel ruolo del server sarà in grado di autenticare il client e il client sa che sta comunicando con il server reale (non un in-the-middle).
Si tratta di un piano corretto, logico e sicuro per la configurazione della crittografia tra i due server? In caso contrario, cosa mi manca?