惱人的GCP GTLSCA雙憑證架構申請
據悉是為強化政府網站服務韌性與國際信任接軌, 將導入政府網站雙憑證機制,然後惱人的憑證申請工作又出現了,距離上次GTLSCA出包才大概過了半年...
GTLSCA雙憑證架構
這個架構但看來文大概是說要網站同時申請CHT 中華電信與TWCA 台灣網路認證發行的憑證,以確保政府網站不會因為單一憑證過期或失效而造成網站服務中斷之情況。
進入GTLSCA申請畫面,確實可以看到需要使用者上傳兩個憑證的CSR檔案:
關鍵作法
目前我採用的作法是到IIS連續產生兩組憑證CSR,然後將這兩組CSR檔案上傳到GTLSCA的網站上,等候GTLSCA簽發的憑證下來,再將這兩組憑證安裝到IIS上,並且擇一設定到網站上,理論上這樣就可以完成客人的要求,若日後有問題會再上來補充。
所有申請動作可以參考申請、安裝與更新IIS內的SSL憑證(2048 Bits)這個網頁並自行彈性調整之。
感想
我是覺得這個雙憑證的機制有點多此一舉,因為真正出大事重要的機房或骨幹線路都被炸毀了,在這樣的狀態下就算多持有10組憑證其實沒啥鳥用。這樣的做法只是增加了網站的維護成本,被管理層拿來向上管理、嘴砲有在做事的證明罷了。