Devo excluir os arquivos .pfx ou .cer depois de importar o certificado SSL?

Question

Devo excluir os arquivos .pfx ou .cer depois de importar o certificado SSL?

#1 resposta do (6 votos)
#2 resposta do (4 votos)

6

Quando fornecido, preciso importar para o IIS no Windows Server (2008 R2) usando um .pfx ou .cer para obter certificados SSL prontos para uso.

A minha pergunta é, devo apagar esses arquivos depois de ter sucesso importado o certificado para o armazenamento de certificados? Achei que me disseram que isso é importante, já que você não quer que ninguém obtenha esses arquivos e consiga usar o certificado ou importar maliciosamente. Eu entendo que sempre posso ter o poder de exportar o certificado se eu precisar transportá-lo, mas imaginei se eu deveria estar excluindo esses arquivos do servidor depois de importados?

security iis ssl-certificate

por atconway 13.05.2013 / 20:43

2 respostas

4

Uma ideia é fazer backup deles em um pen drive USB e colocá-los em um local seguro.

É verdade que, se o certificado incluir a chave privada, você não desejará deixá-lo cair em mãos erradas. Depois de importar o certificado para a sua loja, você não precisa manter o arquivo PFX ou CER pendurado. Mas é uma boa ideia ter um backup do certificado em algum lugar, caso você precise reconstruir o servidor ou site.

por 13.05.2013 / 20:46

Tags security iis ssl-certificate

Não foi possível executar 'show events' no mysqldump Existe um cmd / certutils para copiar um certificado de uma loja para outra?

score 6 · Accepted Answer

Um certificado SSL tem duas partes; uma chave pública e uma chave privada.

Arquivos .CER não contêm nada secreto. É a chave pública que o servidor da Web envia para cada cliente que se conecta ao site habilitado para SSL. Não há motivo para excluí-lo do ponto de vista de segurança. Na verdade, você provavelmente quer fazer o backup caso o servidor morra e precise reutilizá-lo no que estiver sendo substituído.

No entanto, o arquivo .CER não é útil sem sua chave privada correspondente. O Windows gera uma chave privada automaticamente quando você cria uma solicitação de certificado. Seu arquivo .PFX definitivamente contém uma cópia do .CER. Mas pode ou não conter uma cópia da chave privada. Depende inteiramente de quem o gerou e como.

Se o arquivo PFX contiver a chave privada, então sim. Bloqueie esse bad boy fora do site e exclua a cópia do servidor. Alguém com esse arquivo pode usá-lo para representar seu site.

Se o arquivo PFX não contiver a chave privada, não será mais útil que o arquivo bruto do CER. E, se possível, você provavelmente desejará exportar um novo arquivo PFX que contenha a chave privada para fins de DR / backup (supondo que o certificado permita a exportação de chave privada).