Если это предусмотрено, мне нужно импортировать в IIS на Windows Server (2008 R2), используя .pfx или .cer, чтобы получить готовые к использованию сертификаты SSL.
У меня вопрос: следует ли мне удалять эти файлы после того, как успешно импортировал сертификат в хранилище сертификатов? Я думал, что мне сказали, что это важно, поскольку вы не хотите, чтобы кто-либо получил эти файлы и мог использовать сертификат или злонамеренно импортировать. Я понимаю, что у меня всегда есть возможность экспортировать сертификат, если мне нужно его транспортировать, но мне интересно, следует ли мне удалять эти файлы с сервера после импорта?
Сертификат SSL состоит из двух частей; открытый ключ и закрытый ключ.
Файлы .CER не содержат ничего секретного. Это открытый ключ, который веб-сервер отправляет каждому клиенту, подключающемуся к сайту с поддержкой SSL. Нет причин удалять его с точки зрения безопасности. Фактически, вы, вероятно, захотите создать резервную копию на случай, если сервер выйдет из строя, и вам потребуется повторно использовать его на том, что его заменяет.
Однако файл .CER бесполезен без соответствующего закрытого ключа. Windows автоматически генерирует закрытый ключ при создании запроса на сертификат. Ваш файл .PFX определенно содержит копию .CER. Но это может или не может содержать копию закрытого ключа. Это полностью зависит от того, кто и как его создал.
Если файл PFX действительно содержит закрытый ключ, тогда да. Заблокируйте этого плохого парня за пределы сайта и удалите копию с сервера. Кто-то с этим файлом потенциально может использовать его для имитации вашего сайта.
Если файл PFX не содержит закрытого ключа, он не более полезен, чем необработанный файл CER. И если возможно, вы, вероятно, захотите экспортировать новый файл PFX, который делает содержат закрытый ключ для целей аварийного восстановления и резервного копирования (при условии, что сертификат позволяет экспортировать закрытый ключ).
Одна из идей - сохранить их на флэш-накопителе USB и поместить в сейф.
Это правда, что если сертификат включает закрытый ключ, вы не хотите, чтобы он попал в чужие руки. После того, как вы импортируете сертификат в свой магазин, вам не нужно постоянно держать файл PFX или CER. Но неплохо иметь где-нибудь резервную копию сертификата на случай, если вам нужно перестроить сервер или веб-сайт.