Suppongo che tu voglia iscrivere gli utenti tramite il POST dei CSR. Esistono già schemi di registrazione integrati nei browser in modo da non dover effettuare il POST CSR. Questi schemi di registrazione installeranno automaticamente anche il certificato del cliente nell'archivio del browser, quindi Tutto è fatto in un colpo solo.
Qui hai tutto per iniziare:
link
Questo dovrebbe occuparsi di tutto. Ora, il tuo unico problema è autenticare gli utenti come utenti prima di registrarli.
Suppongo che questo sia il problema che vuoi risolvere, in altre parole, autenticare gli utenti in modo che nessuno possa iscriversi, ad esempio solo gli specifici utenti invitati dovrebbero ottenere un account.
Se è possibile eseguire il provisioning del software sui computer client tramite una suite di amministrazione, è possibile eseguire il provisioning di "RunOnce" che contiene un URL come link dove key = è una chiave monouso generata in modo sicuro, che consente la registrazione di un certificato. Dal momento che il tuo software di provisioning sarà in grado di conoscere l'IP del client, potresti anche bloccare la chiave = per essere valida solo per l'IP in questione, ottenendo così una sicurezza extra, quindi se questa chiave una tantum dovesse fuoriuscire prima del suo utilizzo, sarebbe impossibile usarlo.
Se non hai alcuna suite di amministrazione e non hai la possibilità di identificare gli utenti oggi, ti suggerisco di iscriverti manualmente. Questo può essere fatto impostando una pagina di registrazione protetta da password che solo tu come amministratore conosci la password di, e poi visiti fisicamente ogni utente e registralo.
L'installazione di un certificato monouso è un passaggio non necessario, poiché è comunque necessario verificare gli utenti prima di installare il certificato monouso. E se hai verificato gli utenti come autorizzati, non devi eseguire la procedura di installazione di un certificato una tantum.
Se gli utenti si trovano non così vicini, è necessario stabilire un altro modo per verificare gli utenti. Diciamo che gli utenti devono chiamare l'Helpdesk per ottenere un account e verificare se stessi con un rappresentante del cliente. Quindi è possibile creare una pagina in cui devono immettere un "ID di iscrizione" a 8 cifre che gli viene dato per telefono dopo una verifica riuscita. Questo ID di iscrizione potrebbe avere una validità di circa 5 minuti per garantire la massima sicurezza.
Potresti anche avere una sfida che devono leggere per te, inserisci tutti i dettagli che dovrebbero essere scritti nel certificato, ottengono una risposta e devono digitare la risposta per ottenere la registrazione del certificato.