Você pode reutilizar um certificado SSL entre plataformas?

Navegue suas respostas
1

Digamos que eu queira comprar um SSL curinga que eu possa usar para servidores da Web, abrangendo vários servidores e plataformas diferentes.

Eu poderia emitir um CSR para todos e cada um deles, com seus próprios pares de chaves público-privadas, mas seria possível distribuir a chave privada para todos os servidores diferentes e usar o mesmo certificado? Dessa forma, apenas emitindo 1 CSR e, em seguida, implantar isso em uma mistura de plataformas. OU, o certificado é emitido de forma diferente para diferentes plataformas?

O farm atual é uma mistura de:

Windows 2008 R2 e IIS Linux e Tomcat (rodando JIRA e Confluence) Clavister firewall (Eu suponho que não tenho uma resposta para isso embora)

    
por jishi 21.02.2013 / 13:47

2 respostas

4

Uma CA real emitirá somente um certificado X.509 válido para cada combinação distinta de "assunto" (DN) ou assunto / SAN a qualquer momento. Um curinga é geralmente destinado para uso em vários sistemas. Algumas CAs costumavam cobrar uma "licença" adicional por dispositivo, verifique as letras pequenas.

A chave e o certificado estão ligados um ao outro (essa é a parte criptográfica assimétrica que nem vou começar a explicar aqui). Cada certificado tem (em teoria) exatamente uma chave privada correspondente, portanto você não pode ter várias chaves distintas e um certificado comum.

A abordagem é:

  • você não gera um CSR em cada sistema individualmente
  • use openssl para gerar uma chave e um CSR, siga as instruções da CA escolhidas
  • envie o CSR, pague $$$ e aguarde
  • use openssl para converter .key e .crt conforme exigido pela outra plataforma (DER, PEM, P12 / PKCS # 12) etc
  • certifique-se de proteger sua chave a qualquer momento em todas as plataformas
  • importe o par chave / cert em cada sistema, todos eles compartilham o mesmo par, embora provavelmente importados em diferentes formatos

Uma chave, um CSR, um certificado - várias instalações.

As CAs sempre perguntam à plataforma, principalmente para fornecer um formato de arquivo adequado (cert e bundle), mas suspeito também de solucionar problemas conhecidos (por exemplo, atributos e formatos de certificado exatos, formato de nome DN, extensões X.509v3). Em geral, você deve ser capaz de usar openssl , dizer ao CA que você usa "Apache / mod_ssl" e converter.

    
por 21.02.2013 / 14:45
1

Você só precisa de um certificado para cada assunto - no caso de servidores da Web, o assunto é o nome do host (virtual). O único problema é que existem vários formatos para certificados x509 - mas o openssl pode converter entre todos os formatos que eu conheço (incluindo DER, PEM, PKCS # 12, PKCS # 7)

    
por 21.02.2013 / 14:15

Tags

lamp - este processo de criação de host virtual está correto? A validação do certificado de VPN falhou (OpenVPN)? CentOS e Ubuntu