Diverse chiavi private per un nome comune distribuite su due server

2

I fornitori di certificati consentono di avere più certificati con lo stesso nome comune ma diversi CSR da chiavi private diverse, tutti operanti contemporaneamente? A prima vista, è la stessa domanda ha chiesto qui , ma il mio contesto è diverso.

Il mio piano è di avere due server Web, uno che supporta solo codici moderni e uno che fornisce un messaggio di errore se il browser non supporta uno di questi. Un servizio di bilanciamento del carico leggerà il messaggio Client Hello e se il browser supporta uno dei codici nella lista, viene inviato al sito reale; se non lo fanno, vengono inviati al sito che fornisce loro l'errore e una linea di condotta suggerita.

Tuttavia , preferirei non avere la stessa chiave privata su entrambi questi siti - il sito "messaggio di errore" è più incline a essere posseduto a causa dei vecchi codici.

Forse alcune autorità di certificazione emetteranno due certificati con lo stesso CN e diversi CSR e altri no. Pensieri?

    
posta theglossy1 19.09.2016 - 19:26
fonte

3 risposte

2

Different private keys for one ... certificate

Questo non è possibile. Il certificato firma un singolo CSR, basato su una singola chiave privata.

L'altra chiave privata dovrebbe essere firmata con un certificato diverso.

Do certificate providers allow you to have multiple certificates with the same common name ...

@ Matt Nordhoff è esattamente qui.

Depending on your certificate authority, you may be able to use the "Reissue" button and do it for free. (As long as it doesn't automatically revoke!)

Potrebbe funzionare davvero!

Non so se questa è una soluzione raccomandata. Sarei più comodo se la CA supportasse ufficialmente questa soluzione.

Or you can use Let's Encrypt.

Supponendo che il tuo certificato sia solo la convalida del dominio (la maggior parte sono), puoi automatizzare la procedura di rinnovo del certificato e utilizzare i certificati gratuiti di 90 giorni di letsencrypt.org.

Credo che Let's Encrypt stia cercando di eliminare l'uso di HTTP non crittografato consentendo ai server Web di mantenere automaticamente i certificati HTTPS per impostazione predefinita.

    
risposta data 19.09.2016 - 22:03
fonte
0

Un certificato è poco più di:

  • una chiave pubblica,
  • alcune informazioni identificative e
  • una firma di una CA che garantisce la relazione tra i primi due.

In questo senso non puoi avere due chiavi private per un singolo certificato perché non puoi avere due chiavi private per una singola chiave pubblica (almeno su RSA e ECDSA).

Tuttavia, non c'è nulla che impedisca a un'identità (ad es. un CN) di essere associata a più di una chiave pubblica.

Ciò significa che puoi ottenere ciò che desideri avendo certificati diversi per lo stesso dominio.

I dettagli dipenderanno dalla tua CA. La codifica di AFAIK non ha alcun problema con questo. Altre CA probabilmente ti addebiteranno per ogni certificato.

    
risposta data 20.09.2016 - 01:57
fonte
-2

Riguardo alla tua preoccupazione principale - che sta avendo due certificati diversi con due diversi tipi di cifratura ma lo stesso CN ... In definitiva, come ormai saprai, tutti i server vengono sottoposti a patch per cose come cifrari deboli e suite di crittografia. Anche Microsoft ha aggiornamenti e correzioni manuali: link

Quindi, mentre stai cercando di semplificare i tuoi utenti - devo chiedere, stai servendo la community cercando di continuare a supportare algoritmi / algoritmi più deboli?

Non sarebbe meglio avvisarli di aggiornare i loro browser? O non è un'opzione per la tua attività?

    
risposta data 20.09.2016 - 05:28
fonte

Leggi altre domande sui tag