CSR phải được tạo trên máy chủ sẽ lưu trữ chứng chỉ SSL?


54

Có cần thiết phải tạo CSR (Yêu cầu ký chứng chỉ) trên cùng một máy sẽ lưu trữ ứng dụng web và chứng chỉ SSL của tôi không?

Đây trang trên SSL Shopper nói như vậy, nhưng tôi không chắc chắn nếu đó là sự thật, bởi vì nó sẽ có nghĩa là tôi sẽ phải mua một giấy chứng nhận SSL riêng biệt cho mỗi máy chủ trong cluster của tôi.

CSR là gì? Yêu cầu ký CSR hoặc Chứng chỉ là một khối văn bản được mã hóa được tạo trên máy chủ mà chứng chỉ sẽ được sử dụng.


1
Bạn đang nhầm lẫn giữa các nghĩa khác nhau của từ "máy chủ". Khi bạn nói "mỗi máy chủ trong cụm của tôi", bởi "máy chủ", bạn có nghĩa là một hộp vật lý. Khi họ nói "trên máy chủ rằng chứng chỉ sẽ được sử dụng", họ có nghĩa là một thứ cung cấp dịch vụ, cho dù đó là hộp vật lý hay không. (Khi bạn tạo ra một CSR, trước khi bạn gửi nó đi đến một CA, hãy chắc chắn 100% bạn biết chính xác nơi mà các khóa riêng tương ứng là Giấy chứng nhận sẽ là vô ích mà không có nó..)
David Schwartz

Câu trả lời:


61

Không. Không cần thiết phải tạo CSR trên máy mà bạn muốn lưu trữ chứng chỉ kết quả trên đó. CSR không cần phải được tạo bằng khóa riêng hiện có mà chứng chỉ cuối cùng sẽ được ghép với hoặc khóa riêng phù hợp của nó được tạo như một phần của quy trình tạo CSR.

Điều quan trọng không phải là quá nhiều máy chủ gốc mà là khóa riêng và khóa chung kết quả là một cặp tương ứng.


8
Và rằng khóa riêng vẫn là riêng tư . Đừng chỉ sao chép nó ở khắp mọi nơi và sau đó gửi email cho người bạn đời của bạn và yêu cầu anh ta tạo csr cho bạn.
Ladadadada

4
Yếu tố giới hạn khóa + cert để sử dụng với một máy cụ thể là DNS (tên máy chủ cần khớp với trường cn hoặc chủ đềAlAlName ), cũng như tính duy nhất. Không chỉ sử dụng cùng một khóa riêng với nhiều máy chủ sẽ tạo ra một hồ sơ rủi ro cao hơn, mà phần mềm sẽ dần dần phát hiện ra nhiều máy chủ sử dụng cùng một số sê-ri. (với lý do chính đáng)
Andrew B

(đồng thời, tôi đồng ý với câu trả lời, đáng lẽ tôi phải nói rằng đó là "tên máy chủ nhận biết của khách hàng")
Andrew B

26

kce đã chết đúng, nó hoàn toàn không cần phải được thực hiện trên cùng một máy, nhưng nó cần phải được thực hiện từ khóa riêng có liên quan.

Lý do duy nhất tôi đăng câu trả lời thứ hai là vì không ai nói lý do tại sao bạn có thể muốn làm một việc như vậy. Gần như mọi khóa / bộ CSR mà tôi tạo được thực hiện từ máy tính xách tay hoặc máy tính để bàn của tôi, sau đó khóa được sao chép an toàn vào máy chủ nơi chứng chỉ sẽ được cài đặt và CSR được gửi đến cơ quan ký. Lý do là entropy: Chứng chỉ SSL thường được sử dụng để bảo mật máy chủ và máy chủ thường có các nhóm entropy rất nông, làm suy yếu các khóa bàn phím mà chúng tạo ra hoặc khiến việc tạo ra mất nhiều thời gian. Mặt khác, máy tính để bàn có một nguồn ngẫu nhiên hữu ích được kết nối thông qua cáp bàn phím / chuột và do đó có xu hướng có các bể entropy sâu. Do đó, họ tạo ra các nền tảng tốt hơn nhiều cho các hoạt động đòi hỏi số ngẫu nhiên chất lượng cao, thế hệ khóa là một trong số đó.

Vì vậy, không chỉ khóa / CSR có thể được tạo ngoài máy chủ, mà tôi thấy thường xuyên có một lý do chính đáng để làm như vậy.


2
Tôi xem rủi ro của con người lớn hơn rủi ro entropy. Máy tính để bàn cũng có rất nhiều rủi ro riêng tùy thuộc vào chính sách quản lý tài sản và hệ điều hành, không bao giờ thực hiện các hoạt động của các quản trị viên liên quan. . , không bao giờ nhắc đến yếu tố lỗi của con người, vì vậy tôi đặt câu hỏi về việc "thường là một lý do chính đáng để làm như vậy". Nếu không, một điểm thú vị.
Andrew B

Đó là tất cả các câu hỏi hợp lý, đặc biệt là nếu biến vòng thành một danh sách thực hành tốt nhất cho thế hệ khóa. Đối với những người muốn thực hiện điều này thực sự nghiêm túc, có một số gợi ý tuyệt vời tại serverfault.com/questions/307896/ mẹo - câu hỏi là về việc tạo và xử lý CA, nhưng nhiều ý tưởng trong số đó cũng có thể được áp dụng để thực hành tốt nhất trong trường hợp khóa thế hệ.
MadHatter

Bây giờ là công bằng, cảm ơn bạn. Tôi chỉ cảm thấy cần phải có một sự từ chối nào đó, vì nó nguy hiểm cho các quản trị viên xếp hạng và tập tin, những người không hiểu những rủi ro liên quan để diễn giải đó là một tuyên bố thực hành tốt nhất. Nếu chìa khóa có thể bị đánh cắp, trò chơi kết thúc.
Andrew B
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.