È possibile utilizzare i certificati jolly su più dispositivi?

Naviga le tue risposte
19

Ho un server su cui voglio usare un certificato jolly. Gestisce più servizi. Acquisto un certificato jolly in modo da poter proteggere mail.something.dom, www.something.dom, im.something.dom, calendar.something.dom, addressbook.something.dom

Alcuni mesi dopo vengo in diversi nuovi server. Ora ho abbastanza server da poterne creare uno per ogni sottomodello che ho creato. Voglio usare il mio certificato jolly anziché acquistare un certificato SSL per ciascuno di essi.

È possibile se I:

  1. Copia le chiavi pubbliche e private per il certificato jolly dal server originale.
  2. Inserire una copia di ciascuna chiave in ogni nuovo server.
  3. Inserisci una copia del certificato jolly in ogni nuovo server.

Se questo non è il processo per farlo, c'è un processo che funzionerà?

    
posta Everett 22.08.2013 - 18:12
fonte

3 risposte

20

Il processo che descrivi funzionerà. Che tu sia in grado di metterlo in pratica è una cosa diversa: dipende da dove, esattamente, è la tua chiave privata. Nei sistemi Windows, una chiave privata potrebbe essere contrassegnata come "non esportabile", il che significa che Windows non consentirà l'esportazione; l'esportazione è ancora possibile (Windows è solo software, non può fare miracoli) ma in qualche modo hackish . Sui sistemi Linux, le chiavi private sono solo file e i file possono essere copiati a piacimento. Se la generazione e l'archiviazione della tua chiave privata riguardavano hardware dedicato , consulta la documentazione del tuo HSM per le possibili opzioni.

Eventuali obiezioni contro un tale piano sono le seguenti:

  • Potrebbero esserci problemi contrattuali. Dipende davvero dalla CA. La CA non ha potenza tecnica per impedirti di spostare la tua chiave privata da server a server (è la tua chiave sulle macchine, non possono spiarla), ma possono ancora definirla come una violazione del contratto, almeno in teoria. La CA commerciale ricava denaro dalla vendita di certificati e tu stai acquistando e utilizzando un certificato jolly con precisione in modo da non dover acquistare un nuovo certificato per ogni nuovo nome di server; le persone commerciali della CA commerciale si sentiranno comprensibilmente nauseate al concetto, quindi la possibilità di un ostacolo legale.

  • Il valore di una chiave privata risiede nella sua privacy. Se la tua chiave privata diventa nota agli estranei, allora hai un grosso problema. Come regola generale, qualsiasi operazione di esportazione-trasferimento-importazione potenzialmente espone la chiave privata; più una chiave privata viaggia, meno privata diventa. Il "modo consigliato" è di avere ogni server (macchina fisica) che genera la propria coppia di chiavi, e non esportare mai la chiave privata. Ciò che tu suggerisci è in contrasto con questo principio generale, quindi fai attenzione.

  • Se la chiave privata viene rubata, il certificato dovrà essere revocato e questo avrà un impatto su tutti i tuoi server allo stesso tempo. Con diversi certificati distinti, il danno è più contenuto. Allo stesso modo, quando il certificato con caratteri jolly scade, è necessario eseguire un rinnovo e i nuovi certificati installati su tutti i server contemporaneamente. A seconda del numero di server distinti, ciò potrebbe risultare ingombrante.

risposta data 22.08.2013 - 19:33
fonte
4

Può essere un problema di licenza e costa più soldi se sei sincero

Alcuni fornitori ti chiedono di acquistare licenze per installare il certificato su più server. Questo è sul sistema di onore, e se hai mai bisogno di aggiungere più host il venditore CA sarà lieto di prendere i tuoi soldi.

La copia del certificato su altri host è comune

È tecnicamente possibile copiare il certificato su più host (purché la chiave privata sia esportabile) senza pagare una licenza, ma a seconda del venditore, questo potrebbe essere disonesto.

Considera la tecnologia SNI

Se i tuoi clienti utilizzano un browser Web moderno, puoi utilizzare la stessa macchina e l'indirizzo IP per tutti i tuoi siti di sottodominio (im.something.com, calendar.something.com, addressbook.something.com). Questo è qualcosa che configureresti sul tuo server web e permetti al software (browser web) di gestire la negoziazione del nome SNI per te. In questo modo non paghi nulla in costi di licenza aggiuntivi e non devi utilizzare un indirizzo IP aggiuntivo, ecc.

SNI non è adatto se devi supportare i browser più vecchi che non supportano questa tecnologia

    
risposta data 22.08.2013 - 18:44
fonte
1

Sì e no.

Sì, è sicuramente possibile. A seconda di quale CA l'hai firmata per te, potrebbe non esserne autorizzato il contratto. Alcune CA desiderano più soldi per un certificato wildcard da utilizzare su diversi dispositivi fisici. Non credo che esista qualcosa di tecnicamente diverso tra il carattere jolly da utilizzare su un server per più nomi nello stesso dominio e il carattere jolly da utilizzare su più server con più nomi nello stesso dominio. (Per favore correggimi se ho torto, ne ho comprato solo uno che può essere usato su più server)

Altre CA offrono solo un servizio con caratteri jolly e possono essere utilizzati su più dispositivi con più nomi all'interno dello stesso dominio.

    
risposta data 22.08.2013 - 18:35
fonte

Leggi altre domande sui tag

Perché TLS_FALLBACK_SCSV è sicuro contro un attacco MITM? Perché l'handshake SSL / TLS ha un client e un server casuali?