Используя сертификат SSL в нескольких местоположениях
(Сначала, правовая оговорка: Я работаю на Ksplice.)
Мы используем его на нашей собственной производственной инфраструктуре, естественно, но что еще более важно, также - наши наши 500 + корпоративные клиенты (число по состоянию на декабрь '10).
Один системный администратор задает тот же вопрос в списке рассылки пользователя Linux Red Hat Enterprise и встречен многими ответами, несколько из которых извлечены ниже:
Мы выполняли Ksplice в производстве в течение нескольких месяцев приблизительно на дюжине хостов. До сих пор это работает, как рекламируется.
и
Я имею> 500 машин под моим управлением, приблизительно 445 из них подключены к uptrack (rhel 4 и 5). Мы использовали ksplice для блокирования нескольких корневого использования, прежде чем у нас был шанс перезагрузить машины. Так как мы все еще тестируем, мы развернули новое ядро так или иначе, но я работал в течение многих недель ksplice'd без проблемы.
Одно беспокойство, выраженное людьми, не об устойчивости, а скорее ее интеграции с существующим аудитом и контролем инструментов:
Единственный "глюк" об использовании ksplice - то, что еще нет никаких "ksplice-осведомленных" инструментов аудита, доступных.
Как Вы могли бы ожидать, это - теперь область, в которую мы вкладываем капитал в большой степени.
Да, это возможно. Вам просто нужен закрытый ключ от сервера, с которого был создан CSR. Передайте этот закрытый ключ на оба сервера вместе с сертификатом SSL и пакетом CA Bundle.
Однако, если вы используете субдомен на втором сервере, вам понадобится либо SSL с подстановочными знаками, либо несколько сертификатов SSL.
Если в обоих местах используется один и тот же URL-адрес, проблем не возникнет. Вы можете приобрести сертификат multi-SAN для использования в обоих местах, если хотите также использовать только один сертификат.
SSL работает, сопоставляя URL-адрес, который вы посещаете, с CN (или SAN) на сервере, если они совпадают (и сертификат действителен и не указан в CRL CA), то клиент будет доволен ... иначе вы получите ошибку сертификата на стороне клиента.
При использовании вашего сертификата на двух разных серверах не будет конфликта. Обычно вы можете заказать один сертификат для своего домена и установить его на любое количество физических серверов. Вам нужен только закрытый ключ. Вы можете получить закрытый ключ с исходного сервера, на котором был создан CSR, и использовать его на желаемом сервере.
Или у вас будет возможность экспортировать сертификат в виде файла pfx с сервера, на котором вы установили сертификат. . с помощью команды open ssl.
openssl pkcs12 -export -in my.crt -inkey my.key -certfile my.bundle -out my.pfx
Чтобы установить сертификат на сервере, вы можете отделить закрытый ключ от файла pfx и использовать его на своем новом сервере.
Извлеките сертификат и закрытый ключ в отдельный файл PEM
openssl pkcs12 -in yourP12File -nocerts -out privateKey.pem
] Другим способом некоторые центры сертификации, такие как comodo, бесплатно предоставят замену выданного сертификата. Вы также можете связаться с центром сертификации для замены. Таким образом, вы можете просто воссоздать новый CSR на новом сервере и получить его повторно. Таким образом, вы можете без проблем установить повторно выданный сертификат.