На моем веб-сайте на общем сервере установлен сертификат SSL, и я хочу перенести сертификат на выделенный сервер, предоставленный другой хостинговой компанией. Текущая хостинговая компания говорит, что им нужен новый CSR. Почему я не могу просто переустановить существующий на новом компьютере без создания нового CSR?
Вероятно, это потому, что у них есть система, которая не позволяет восстановить исходный закрытый ключ. Если они используют своего рода HSM (аппаратный модуль безопасности), они вводят закрытый ключ в систему после того, как они его сгенерировали, а затем уничтожают ключ, или даже HSM имеет функцию для создания запроса, не экспортирующего закрытый ключ.
Если вы находитесь на общем хосте, вероятно, что используемый сертификат также используется для ряда других сайтов. Вы должны иметь возможность проверить список альтернативных имен субъектов (SAN) в этом старом сертификате.
В такой ситуации сертификат на самом деле не ваш, но вы разрешили своей хостинговой компании выдать сертификат, который покрывает ваше доменное имя. Если они предоставят вам соответствующий закрытый ключ, они фактически дадут вам возможность размещать все другие общие имена хостов на этом сервере, что, безусловно, неприемлемо для других клиентов.
Даже если этот сертификат не будет передан другим клиентам, хостинговая компания будет иметь доступ к своему закрытому ключу и технически может продолжать обслуживать ваше доменное имя. При переходе от одной хостинговой компании к другой хорошей практикой является изменение ключа сертификата, по крайней мере, для того, чтобы взять под контроль старый сертификат у старой компании.
При переходе на новый хост вам нужно:
Чтобы предотвратить дальнейшее использование старого сертификата, имеет смысл создать новую пару ключей в дополнение к отзыву старого сертификата (поскольку тот, кто контролирует этот старый сертификат, также будет иметь свой закрытый ключ). Следовательно, вам необходимо создать новый CSR.