У меня есть два экземпляра EC2 с ALB, и мне нужен сертификат SSL для Tomcat. У меня нет доступа к оболочке для экземпляров EC2, я могу работать с ними только через Ansible. Мне нужно сгенерировать запрос сертификата, но для этого мне нужен ключ.
Могу ли я создать ключ на своем компьютере и использовать его для запроса сертификата?
Да, технически запрос CSR может быть подписан любым ключом в любом месте, но после создания подписанного сертификата вам нужно будет использовать тот же ключ, который вы использовали для запроса CSR.
Другими словами, вам нужно будет каким-то образом передать ключ на серверы, чтобы Tomcat мог использовать сертификат вместе с ключом.
При работе с SSL / TLS вы должны учитывать аспект безопасности ваших действий.
Да, технически возможно сгенерировать ключ и скопировать его на другую машину. Но я советую создавать и хранить ключ только на целевом сервере и никогда не копировать ключ где-то еще.
Также возможно одновременно иметь 2 разные пары сертификат-ключ. это имеет то преимущество, что если один сайт будет скомпрометирован, вы все равно можете использовать другой компьютер и сертификат + ключ, который еще не был скомпрометирован.