Creazione del certificato ssl per il servizio di terze parti

3

Ho un sito web ad es. link . Voglio connettere il servizio di terze parti al dominio link . Questo servizio ha chiesto di fornire loro il certificato ssl (.crt + private_key), creato sul mio server, in modo che potessero installarlo sul loro server.

Come ho capito, farò quanto segue:

  1. crea la chiave, csr; approva che sono il proprietario del dominio e recupero certificato dall'emittente;
  2. dai il .key e .crt al servizio di terze parti (non copiare, ma cancellare dal mio server e fornire file al servizio).
  3. punto catalog.mysite.com su ip del servizio

Sembra una procedura semplice, ma comprometterà in qualche modo il mio server o la sicurezza del dominio mysite.com?

    
posta Parks 23.01.2017 - 14:46
fonte

2 risposte

2

Se crei un certificato solo per catalog.mysite.com, ciò non comprometterà la tua sicurezza (ulteriore). Tutto ciò che consente a questa terza parte di fare è eseguire il proprio server sul dominio "catalog.mysite.com". Ovviamente possono leggere tutto ciò che viene inviato a "catalog.mysite.com".

Ma se ti capisco correttamente, è esattamente quello che vuoi da loro.

Se aggiungi anche "mysite.com", "www.mysite.com" o qualsiasi altro sottodominio al certificato, questa terza parte può anche eseguire un server che identifica come "mysite.com".

Alcune autorità di certificazione aggiungono automaticamente "mysite.com" a un certificato per "catalog.mysite.com". Non ottenere un certificato da loro.

    
risposta data 23.01.2017 - 15:04
fonte
0

MODIFICA: sembra che abbia interpretato la tua domanda in modo errato.

Se un servizio di terze parti ospita un sito Web per te, allora sì, devi fornire loro la chiave privata del certificato. Tuttavia, come sottolineato da Josef, dovresti creare un certificato che copra solo il minimo necessario, cioè solo per catalog.example.com .

Se dai loro un certificato per *.example.com , allora possono anche impersonare altri siti nel tuo dominio, come mail.example.com , admin.example.com ecc. Se questo non è quello che vuoi, non dare loro il capacità di farlo. Dando agli altri un certificato con una chiave privata, deleghi un'autorità per rappresentare una parte del tuo dominio per loro. Delega solo ciò che è necessario e non altro.

Risposta originale:

Tu mai dai una chiave privata a nessuno! Il nome ce l'ha, è privato!

Si genera un certificato autofirmato usando una coppia di chiavi pubbliche e private. Se vogliono verificare che sia il tuo server, dai agli altri la tua chiave pubblica (cioè il file del certificato) attraverso un canale sicuro. Se vuoi verificare il loro server, chiedi loro di fornire la chiave pubblica per te in modo sicuro, o di avere un'autorità di fiducia reciproca (cioè CA) che firmi un certificato per loro.

    
risposta data 23.01.2017 - 14:51
fonte

Leggi altre domande sui tag