CSR phải được tạo trên máy chủ sẽ lưu trữ chứng chỉ SSL?

Có cần thiết phải tạo CSR (Yêu cầu ký chứng chỉ) trên cùng một máy sẽ lưu trữ ứng dụng web và chứng chỉ SSL của tôi không?

Đây trang trên SSL Shopper nói như vậy, nhưng tôi không chắc chắn nếu đó là sự thật, bởi vì nó sẽ có nghĩa là tôi sẽ phải mua một giấy chứng nhận SSL riêng biệt cho mỗi máy chủ trong cluster của tôi.

CSR là gì? Yêu cầu ký CSR hoặc Chứng chỉ là một khối văn bản được mã hóa được tạo trên máy chủ mà chứng chỉ sẽ được sử dụng.

Không. Không cần thiết phải tạo CSR trên máy mà bạn muốn lưu trữ chứng chỉ kết quả trên đó. CSR không cần phải được tạo bằng khóa riêng hiện có mà chứng chỉ cuối cùng sẽ được ghép với hoặc khóa riêng phù hợp của nó được tạo như một phần của quy trình tạo CSR.

Điều quan trọng không phải là quá nhiều máy chủ gốc mà là khóa riêng và khóa chung kết quả là một cặp tương ứng.

kce đã chết đúng, nó hoàn toàn không cần phải được thực hiện trên cùng một máy, nhưng nó cần phải được thực hiện từ khóa riêng có liên quan.

Lý do duy nhất tôi đăng câu trả lời thứ hai là vì không ai nói lý do tại sao bạn có thể muốn làm một việc như vậy. Gần như mọi khóa / bộ CSR mà tôi tạo được thực hiện từ máy tính xách tay hoặc máy tính để bàn của tôi, sau đó khóa được sao chép an toàn vào máy chủ nơi chứng chỉ sẽ được cài đặt và CSR được gửi đến cơ quan ký. Lý do là entropy: Chứng chỉ SSL thường được sử dụng để bảo mật máy chủ và máy chủ thường có các nhóm entropy rất nông, làm suy yếu các khóa bàn phím mà chúng tạo ra hoặc khiến việc tạo ra mất nhiều thời gian. Mặt khác, máy tính để bàn có một nguồn ngẫu nhiên hữu ích được kết nối thông qua cáp bàn phím / chuột và do đó có xu hướng có các bể entropy sâu. Do đó, họ tạo ra các nền tảng tốt hơn nhiều cho các hoạt động đòi hỏi số ngẫu nhiên chất lượng cao, thế hệ khóa là một trong số đó.

Vì vậy, không chỉ khóa / CSR có thể được tạo ngoài máy chủ, mà tôi thấy thường xuyên có một lý do chính đáng để làm như vậy.