È vero che i certificati richiesti con un CSR specifico possono essere utilizzati solo sulla macchina in cui è stato generato il CSR?

4

Supponiamo che io abbia creato un CSR e sto per acquistare un certificato SSL con esso. Sarei in grado di utilizzare il certificato SSL su un'altra macchina rispetto a dove è stato creato il CSR?

Qualcuno che conosco di recente mi ha detto che non lo era, ma non ne sono completamente sicuro.

    
posta William Edwards 30.09.2014 - 21:44
fonte

2 risposte

6

No, non è vero.

Il CSR definisce vari parametri per il certificato che stai richiedendo, come il nome comune, eventuali nomi alternativi, ecc. Tuttavia il CSR è, in definitiva, solo un file, e puoi fare tutte le solite cose del file con esso - come copiare o spostarlo su un altro server, se lo si desidera.

Non che sia richiesto molto. Il tuo certificato SSL che ricevi in risposta alla tua CSR (spesso con un file chiave e / o una "catena di certificati") è tutto ciò di cui hai bisogno. E puoi metterlo su tutte le macchine che vuoi, anche se nessuno di loro ha mai visto il CSR in primo luogo, per non parlare delle macchine di origine.

Caso in questione: gestisco un cluster di 5 server di posta elettronica (prossimamente deprecati), un altro cluster di 9 server di posta elettronica (che presto sostituiranno il primo), un paio di bilanciatori di carico BigIp, un cluster di 5 server Web e altro ancora - e tutti e più di 20 utilizzano esattamente lo stesso certificato, chiave e file di catena, ma non il CSR (diamine, i bilanciatori di carico non hanno nemmeno un'opzione nella loro GUI per caricare il CSR a tutti!). Il CSR che è stato utilizzato per ottenere questo certificato in primo luogo? La macchina che l'ha generata è stata dismessa poco tempo fa, portando con sé l'unica copia del CSR.

Ciò che non puoi fare, comunque (beh, non senza provocare errori in ogni caso) è usare il tuo certificato su un dominio diverso da quello indicato sul certificato; per esempio. se si dispone di un certificato per esempio.com, con un nome alternativo di example.net, non è possibile utilizzarlo su example.org. (Beh, tecnicamente potresti , ma riceverai errori di "certificato non valido" ogni volta che lo hai visitato.) Non potresti nemmeno usarlo su sub.example.com. Questo non ha nulla a che fare con il CSR se non quello in cui metti quei nomi in primo luogo, però.

    
risposta data 30.09.2014 - 22:18
fonte
0

Non è necessario il CSR per utilizzare il certificato. Per fare in modo che una macchina esegua l'autenticazione con questo certificato, tuttavia, la macchina necessita anche della chiave privata associata al certificato.

Generalmente la chiave privata viene generata insieme al CSR. Nello scenario più semplice, la chiave privata è solo un file che puoi copiare su tutte le macchine che vuoi, insieme al certificato. (Se si utilizza un modulo di sicurezza hardware (HSM), questo passaggio è più complesso, ma ci sono ancora modi per farlo.) Questo è anche il motivo per cui si dovrebbe proteggere la chiave privata dall'accesso non autorizzato, simile a una password. / p>

Come ha detto Kromey, l'altra cosa da considerare è il nome per cui è stato rilasciato il certificato. Deve corrispondere al nome al quale i tuoi utenti raggiungeranno il server:

  • In uno scenario di bilanciamento del carico (cinque server identici dietro un sistema di bilanciamento del carico, tutti utilizzano lo stesso certificato), stai bene.
  • Lo stesso vale se hai un certificato con caratteri jolly (come *.example.com ) e tutti i nomi dei tuoi server corrispondono (ad esempio www.example.com e mail.example.com ).
  • Se il tuo certificato è per www.example.com e provi a usarlo su mail.example.com , gli utenti riceveranno un avviso di mancata corrispondenza del nome del server quando tenteranno di connettersi (alcuni prodotti software potrebbero persino rifiutarsi di connettersi del tutto).
risposta data 13.08.2018 - 10:20
fonte

Leggi altre domande sui tag