Скажем, я хочу купить SSL с подстановочными знаками, который я могу использовать для веб-серверов, охватывающих множество различных серверов и платформ.
Я мог бы выпустить CSR для каждого из них с их собственными парами закрытого и открытого ключей, но можно ли распространить закрытый ключ на все разные серверы и использовать один и тот же сертификат? Таким образом, будет выдан только 1 CSR, а затем развернут его на разных платформах. ИЛИ выдаются ли сертификаты по-разному для разных платформ?
Текущая ферма представляет собой смесь:
Windows 2008 R2 и IIS Linux и Tomcat (под управлением JIRA и Confluence) брандмауэр Clavister (хотя я предполагаю, что не получил ответа на этот вопрос)
Настоящий центр сертификации выдаст вам только один действительный сертификат X.509 для каждого отдельного «субъекта» (DN) или комбинации субъекта / SAN в любой момент времени. Подстановочный знак обычно предназначена для использования в нескольких системах. Некоторые центры сертификации использовали для взимания дополнительной «лицензии» на устройство, проверьте мелкий шрифт.
Ключ и сертификат привязаны друг к другу (это асимметричная криптографическая часть, которую я даже не собираюсь здесь объяснять). Каждый сертификат имеет (теоретически) ровно один соответствующий закрытый ключ, поэтому у вас не может быть нескольких отдельных ключей и общего сертификата.
Подход:
openssl
чтобы сгенерировать ключ и CSR, следуйте инструкциям выбранного CAopenssl
преобразовать .key
и .crt
в соответствии с требованиями другой платформы (DER, PEM, P12 / PKCS # 12) и т. д.Один ключ, один CSR, один сертификат - несколько установок.
Центры сертификации всегда запрашивают платформу, в основном, чтобы предоставить вам подходящий формат файла (сертификат и пакет), но я подозреваю также, что существуют известные обходные проблемы (например, точные атрибуты и форматы сертификатов, формат имени DN, расширения X.509v3). В общем, вы должны уметь использовать openssl
, сообщите CA, что вы используете "Apache / mod_ssl", и выполните преобразование.
Вам нужен только один сертификат для каждого субъекта - в случае веб-серверов субъектом является имя (виртуального) хоста. Единственная проблема заключается в том, что существует несколько форматов для сертификатов x509, но openssl может конвертировать между всеми известными мне форматами (включая DER, PEM, PKCS # 12, PKCS # 7).