Извините, если это настоящий вопрос новичка, но возможно ли / рекомендуется использовать один и тот же сертификат SSL для двух разных демонов? У меня работает VSFTPD, который я хочу настроить для работы с FTPS. У меня уже есть сертификат SSL, который я использую для защиты phpmyadmin через Apache, и мне было интересно, могу ли я просто использовать тот же сертификат (я предполагаю, что домен должен быть таким же).
Любые мысли по этому поводу приветствуются.
Огромное спасибо,
Джеймс.
Да, это можно сделать, поскольку две службы прослушивают разные порты.
Я не знаком с особенностями работы с VSFTPD или Apache, хотя извините.
Вам просто нужно убедиться, что и VSFTPD, и Apache используют один и тот же закрытый ключ, а также сам сертификат (и, возможно, любые промежуточные корневые сертификаты, которые используются для игры с вашим сертификатом SSL - если вам не нужно было устанавливать один для apache, для VSFTPD это тоже не нужно). Да, домен должен быть таким же, чтобы избежать ошибок сертификата.
Сертификаты x.509 выдаются на основе доменного имени, поэтому любая служба, которая прослушивает это конкретное доменное имя и хочет использовать шифрование SSL / TSL, должна использовать сертификат x.509, выпущенный для этого домена.
Я бы сказал, что это выходит за рамки хорошей практики, не делать этого было бы плохой практикой. Хотя вы можете рассмотреть возможность распространения своих сервисов на отдельные поддомены (например, ftp.domain.example, imap.domain.examle) и впоследствии использовать разные сертификаты для каждого из них.
Некоторым администраторам нравится сохранять простоту и, таким образом, использовать подстановочный сертификат для всех этих поддоменов, с криптографической точки зрения я бы не рекомендовал этого, нарушение одной из служб, использующих этот подстановочный сертификат (если можно получить закрытый ключ ) сделает уязвимыми и все остальные службы.
Проблема такого подхода в том, что:
1) FTPd и HTTPd должны работать в одном домене (что означает один и тот же IP-адрес, если вы не используете перенаправление портов на уровне брандмауэра). Или вы можете указать альтернативное имя для сертификата ssl, например ftp.domain.com, domain.com www.domain.com и т. Д.
2) FTPd / HTTPd может расшифровать данные друг друга. Таким образом, если злоумышленник скомпрометирует FTPd, он поставит под угрозу безопасность трафика HTTPd, и наоборот.