O mesmo certificado SSL para VSFTPD e Apache?

1

Desculpe se esta é uma questão newb real, mas é possível / boa prática usar o mesmo certificado SSL para dois daemons diferentes? Eu tenho VSFTPD em execução que eu quero configurar para executar com FTPS. Eu já tenho um certificado SSL que estou usando para proteger o phpmyadmin através do Apache e me perguntei se eu poderia usar apenas o mesmo certificado (suponho que o domínio teria que ser o mesmo).

Quaisquer pensamentos sobre isso são apreciados.

Muito obrigado,

James.

    
por user16529 12.08.2009 / 22:32

3 respostas

3

Sim, isso pode ser feito porque os dois serviços estão escutando em portas diferentes.

Não estou familiarizado com os detalhes de fazê-lo com o VSFTPD ou o Apache, mas lamento.

Você precisa garantir que tanto o VSFTPD quanto o Apache estejam usando a mesma chave privada, bem como o próprio certificado (e, potencialmente, quaisquer certificados de raiz intermediária que vêm para brincar com seu certificado SSL - se você não precisa instalar um para o apache, você não deve precisar também de VSFTPD). Sim, o domínio terá que ser o mesmo para evitar erros no certificado.

    
por 12.08.2009 / 23:04
2

x.509 Os certificados são emitidos com base no nome de domínio, portanto, qualquer serviço que esteja escutando esse nome de domínio específico e deseje usar a criptografia SSL / TSL deve usar o certificado x.509 emitido para esse domínio.

Eu diria que está além da boa prática, não fazê-lo seria uma prática ruim. Embora você possa considerar a possibilidade de distribuir seus serviços em subdomínios separados (como ftp.domain.example, imap.domain.examle) e usar certificados diferentes para cada um deles.

Alguns administradores gostam de manter as coisas simples e, assim, usar um certificado curinga para todos esses sub-domínios, do ponto de vista criptográfico eu recomendaria contra isso, uma violação em um dos serviços usando esse certificado curinga (se conseguir a chave privada) tornará todos os outros serviços vulneráveis também.

    
por 13.08.2009 / 12:10
0

O problema dessa abordagem é que:

1) FTPd e HTTPdhas para executar no mesmo domínio (que significa o mesmo endereço IP, se você não estiver usando o redirecionamento de porta no nível do firewall). Ou você pode especificar o nome alternativo para o certificado ssl, como ftp.domain.com, domain.com www.domain.com etc.

2) FTPd / HTTPd pode descriptografar os dados uns dos outros. Assim, se o invasor comprometer o FTPd, ele comprometeria a segurança do tráfego HTTPD e vice-versa.

    
por 13.08.2009 / 12:00