Моя компания модернизирует свой веб-сайт и субдомены с помощью новой платформы, которая требует от нас обновления до более производительного сервера LAMP. При этом я хочу повторно использовать SSL с подстановочными знаками, который изначально был создан для использования с нашим исходным стеком LAMP.
Я намерен скопировать промежуточные и первичные сертификаты, предоставленные нашим органом SSL, в новый стек LAMP, обновить файлы конфигурации Apache, чтобы использовать новый сертификат SSL, и перезапустить мой веб-сервер.
Есть ли какие-либо проблемы безопасности, о которых мне следует помнить при повторном использовании сертификата SSL, подобного этому? Я просто хочу убедиться, что не упускаю из виду что-то важное. Спасибо.
Во-первых, давайте кое-что проясним: ваши сертификаты общедоступные . Любой желающий может бесплатно скачать их с вашего сервера. Это сделано намеренно. Единственный файл, который необходимо сохранить по-настоящему конфиденциальным, - это файл закрытого ключа, который вы создали при первоначальном получении сертификата. Любой, кому удастся заполучить этот файл, потенциально может выдать себя за вашу службу.
Теперь к вашему вопросу: кроме обеспечения безопасности вашего закрытого ключа при передаче между хостами, беспокоиться не о чем. Если вас беспокоит передача ключа и вы хотите быть параноиком, вы можете использовать gpg
, чтобы зашифровать ключ перед его перемещением, а затем расшифровать его на новом сервере.
Нет ничего принципиально неправильного в безопасном копировании вашего старого сертификата и ключа, если вы уверены, что понимаете разницу, как пояснил @EEAA.
Тем не менее, я считаю разумным установить практика всегда переназначает (перевыпускает) сертификат при выполнении какого-то большого шага, который затмевает дополнительные шаги настройки. Следующие 3 представляют собой проблемы безопасности, о которых вам следует помнить при повторном использовании вашего старого ключа, но они будут смягчены, если вместо этого вы измените ключ:
Большинство центров сертификации позволяют вам сгенерировать новый сертификат с новым ключом в бесплатном процессе самообслуживания - действителен до вашего Срок действия предыдущего истек, что приведет к аннулированию вашего старого сертификата вскоре после выдачи нового.