Назад | Перейти на главную страницу

Как следует использовать групповой сертификат?

У меня есть подстановочный сертификат (файл pfx), и я сомневаюсь, как его использовать. Должен ли я установить это на всех моих серверах приложений или, в качестве альтернативы, создать новый сертификат и подписать его с помощью сертификата с подстановочными знаками?

Я читал, что существуют ограничения в отношении этих проблем и что не все сертификаты с подстановочными знаками могут подписывать другие сертификаты, так как мне проверить, могу ли я это сделать?

Но самое главное, я должен это делать? Я спрашиваю об этом, потому что из того, что я прочитал, файл pfx содержит закрытый ключ подстановочного знака. Другими словами, закрытый ключ домена, поэтому, если сервер будет скомпрометирован и этот файл будет украден, последствия могут быть весьма драматичными.

Правильно ли я понимаю эту ситуацию?

Должен ли я установить это на всех моих серверах приложений

Да.

или, в качестве альтернативы, создайте новый сертификат и подпишите его с помощью подстановочного сертификата

Это невозможно.

... что не все сертификаты с подстановочными знаками могут подписывать другие

Ни один CA не выдаст вам сертификат для подписи других (по крайней мере, если у вас нет много денег и твердых знаний о сертификатах, а также о том, как обеспечить их безопасность и т. Д., Которых у вас в настоящее время нет).

поэтому, если сервер будет скомпрометирован и этот файл будет украден, последствия могут быть весьма драматичными.

Да, если сервер скомпрометирован, закрытый ключ может быть скомпрометирован, поэтому вам действительно нужно обеспечить безопасность сервера.