在运行时定期更改SSL证书

撇开为什么内部网络需要如此低的刷新时间不谈,您的架构是可行的

• 颁发CA必须在线,并且应在微服务启动期间处理CSR并返回有效证书,并且具有合理的短响应时间

• 脱机根CA的公共证书应事先包含在每个微服务的信任列表中。我建议将it计划包括在内,以避免安全风险

证书通常在客户端信任库中脱机手动安装,但在您的情况下,您必须将每个证书分发给将使用微服务的客户端。这个解决方案是不现实的,因为你必须这样做。将通道安全化,将其分发给每个客户端,安装并确保所有步骤同步。

还请不要忘记,旧证书必须从信任库中删除,因为如果它们存在,客户端仍然会接受它们