Назад | Перейти на главную страницу

Хороший способ хранить файлы CSR и KEY домена

В своей компании я начинаю управлять все большим количеством доменов; и с этим все больше и больше сертификатов для этих доменов.

Как лучше всего хранить сгенерированные базовые файлы KEY и CSR? Я рассматривал репозиторий git на нашем частном сервере кода. Однако это не кажется достаточно безопасным.

Не могли бы вы предложить и другую систему, или как это можно сделать безопасно с помощью системы управления версиями вроде git?

Также: имеет ли смысл хранить используемые файлы CRT и CA?

certificate configuration-management

Вот несколько общих рекомендаций, которые могут мне помочь:

По возможности используйте сертификаты с подстановочными знаками, чтобы уменьшить количество и объем управления всеми вашими сертификатами.
Используйте отличный центр сертификации, такой как DigiCert, где вы можете создавать дубликаты своих сертификатов из разных CSR и добавлять SAN (альтернативные имена субъектов) по мере необходимости.
Сохраняйте закрытый ключ таким же, когда это возможно, на административных границах или границах безопасности. Для сертификатов, которые поступают на балансировщики нагрузки для ускорения SSL, выполняемого нашей сетевой командой, используется один закрытый ключ; для сертификатов, которые отправляются на веб-серверы, используется другой закрытый ключ.
Например, если у вас есть частный ЦС на сервере Microsoft, вы можете хранить файлы там, поскольку Microsoft рекомендует отключать частный ЦС, когда он не нужен.