Supponiamo di aver generato una chiave del server per l'utilizzo da parte di Apache per SSL. Il server gestirà diversi domini che utilizzano SSL tramite IP univoci (senza SNI).
Voglio generare un CSR per ogni dominio dalla stessa chiave, farlo firmare e quindi configurare ciascun dominio per presentare il certificato appropriato.
C'è qualche ragione per cui dovrei generare una chiave del server per ciascun dominio invece di farlo, se tutti i domini saranno ospitati sullo stesso server?
Posso vedere due principali motivi per cui potresti non voler riutilizzare la stessa chiave:
Compromise resilience: Se la chiave privata viene trapelata e se la riutilizzi per più domini, saranno interessati più domini. Se si utilizzano chiavi private separate e le si memorizzano su un server separato, la compromissione di una non influisce sulle altre. Se hai intenzione di ospitare tutti i domini su un singolo server, questo probabilmente non ha importanza, ma l'utilizzo di chiavi separate potrebbe preservare la tua flessibilità nel modificare i dettagli di hosting.
A prova di futuro: Supponiamo che un giorno in futuro il proprietario di uno dei domini dica "Vorrei iniziare a ospitare il dominio da solo, puoi darmi il certificato e la chiave privata? per quel dominio? " Se hai riutilizzato la stessa chiave privata per più domini, non puoi obbligarli.
O allo stesso modo, forse un giorno uno di questi domini diventerà molto popolare e vorrete acquistare più server per ospitarli e iniziare il bilanciamento del carico su di essi. Se hai riutilizzato la stessa chiave privata, tutti questi server devono ricevere la chiave privata comune e, se uno qualsiasi dei server viene compromesso, tutti i domini vengono protetti. D'altra parte, se si utilizzano chiavi private separate, è possibile fornire a ciascuno di questi nuovi server una copia della sola chiave privata per un dominio che è diventato molto popolare.
Queste considerazioni possono o non possono avere importanza nella tua situazione particolare. Puoi decidere autonomamente i vantaggi di avere una singola chiave privata, rispetto alla flessibilità per il futuro di avere più chiavi private.
Leggi altre domande sui tag public-key-infrastructure tls