Назад | Перейти на главную страницу

Можно ли повторно использовать сертификат SSL на разных платформах?

Скажем, я хочу купить SSL с подстановочными знаками, который я могу использовать для веб-серверов, охватывающих множество различных серверов и платформ.

Я мог бы выпустить CSR для каждого из них с их собственными парами закрытого и открытого ключей, но можно ли распространить закрытый ключ на все разные серверы и использовать один и тот же сертификат? Таким образом, будет выдан только 1 CSR, а затем развернут его на разных платформах. ИЛИ выдаются ли сертификаты по-разному для разных платформ?

Текущая ферма представляет собой смесь:

Windows 2008 R2 и IIS Linux и Tomcat (под управлением JIRA и Confluence) брандмауэр Clavister (хотя я предполагаю, что не получил ответа на этот вопрос)

Настоящий центр сертификации выдаст вам только один действительный сертификат X.509 для каждого отдельного «субъекта» (DN) или комбинации субъекта / SAN в любой момент времени. Подстановочный знак обычно предназначена для использования в нескольких системах. Некоторые центры сертификации использовали для взимания дополнительной «лицензии» на устройство, проверьте мелкий шрифт.

Ключ и сертификат привязаны друг к другу (это асимметричная криптографическая часть, которую я даже не собираюсь здесь объяснять). Каждый сертификат имеет (теоретически) ровно один соответствующий закрытый ключ, поэтому у вас не может быть нескольких отдельных ключей и общего сертификата.

Подход:

  • ты не генерировать CSR для каждой системы индивидуально
  • использовать openssl чтобы сгенерировать ключ и CSR, следуйте инструкциям выбранного CA
  • отправить CSR, заплатить $$$ и подождать
  • использовать openssl преобразовать .key и .crt в соответствии с требованиями другой платформы (DER, PEM, P12 / PKCS # 12) и т. д.
  • обязательно защищайте свой ключ на всех платформах
  • импортировать пару ключ / сертификат в каждую систему, все они используют одну и ту же пару, хотя, вероятно, импортированы в разных форматах

Один ключ, один CSR, один сертификат - несколько установок.

Центры сертификации всегда запрашивают платформу, в основном, чтобы предоставить вам подходящий формат файла (сертификат и пакет), но я подозреваю также, что существуют известные обходные проблемы (например, точные атрибуты и форматы сертификатов, формат имени DN, расширения X.509v3). В общем, вы должны уметь использовать openssl, сообщите CA, что вы используете "Apache / mod_ssl", и выполните преобразование.

Вам нужен только один сертификат для каждого субъекта - в случае веб-серверов субъектом является имя (виртуального) хоста. Единственная проблема заключается в том, что существует несколько форматов для сертификатов x509, но openssl может конвертировать между всеми известными мне форматами (включая DER, PEM, PKCS # 12, PKCS # 7).