Я работаю техником. Поддержка в компании веб-дизайна. Многие из наших прошлых клиентов обслуживаются другой компанией («Компания X»), но они обновляют свои сертификаты SSL через нас. Мы продаем QuickSSL от GeoTrust. Мы разрабатываем в .NET, поэтому весь хостинг - это IIS.
Компания X пошла под откос с тех пор, как мы начали (а затем прекратили) рекомендовать их, и теперь с ними сложно продлевать сертификаты SSL. Некоторое время они брали с нас 50 долларов за продление, чтобы покрыть свое время (экспорт CSR, установка CER). Они часто переносят сайты на новые серверы и говорят, что SSL не может передаваться вместе с ними (и иногда пытаются продать свои собственные SSL). Невозможно объяснить нашим клиентам, почему мы не можем просто повторно отправить сертификат для использования на новом сервере (у нас есть только CSR и CER).
Поэтому вместо этого я хочу заказать эти SSL-сертификаты от начала до конца на одном из наших внутренних серверов IIS, затем экспортировать PFX и отправить его в компанию X. Если они его потеряют, у нас есть копия на нашей стороне, и требуется меньше шагов для пойти не так.
Я не могу найти никого, кто бы это делал. Это плохая идея или просто отчаянная? Есть ли какие-то технические ограничения, которые мне не хватает (например, от IIS6 до IIS7)? Если бы ваш поставщик SSL сделал это, вас бы отложили? Я не могу решить, плохая это идея или очевидная.
Спасибо SF!
Я не могу найти никого, кто бы это делал. Это плохая идея или просто отчаянная?
Я не думаю, что это плохая идея, если у вас есть системы для защиты ключей, которые вы храните от взлома. Я делал это пару раз для своих клиентов, когда знал, что мой клиент не сможет создать ключ, и я не доверял веб-хосту, чтобы он не потерял ключ.
Не думаю, что буду хранить чужие ключи в общедоступном ящике IIS. Я бы посоветовал вам создавать ключи для своих клиентов на машине, которая защищена хорошим межсетевым экраном и очень безопасна.
Если бы ваш поставщик SSL сделал это, вас бы отложили?
Меня бы это немного оттолкнуло, но я знаю, как создавать свои собственные сертификаты, и не передаю свои ключи + сертификаты какому-то хостингу.
Думаю было бы нормально, если бы:
Они уже доверяют «Компании X» свои ключи + сертификат и свой сервер, поэтому им не нужна действительно высокая степень защиты.
Зная, насколько чувствителен закрытый ключ, я бы немного оттолкнулся, узнав, что это сделал мой провайдер SSL. Но до тех пор, пока предпринимаются меры для защиты закрытого ключа во время его передачи на хост и резервного копирования, нет никаких технических причин, по которым вы не можете сделать это безопасно.