Una cosa su cui ho riflettuto per un po 'è l'utilizzo di una chiave privata X.509 memorizzata in un dispositivo di sicurezza hardware (si pensi a YubiKey et al) su base singola per macchina. In teoria, dovrebbe essere possibile "riutilizzare" una chiave privata generando più CSR, ciascuno per il proprio servizio.
Ciò che intendo per servizi è, ad esempio:
- Puppet
- Nginx
- Syncthing
Capisco che questi software (per quanto ne so al momento della pubblicazione) non supportano le operazioni delle chiavi private su PKCS # 11 (o # 13, non ricordo quale sia il protocollo per le chiavi private dell'hardware ), ma se lo facessero, ci sarebbero potenziali pericoli nel riutilizzare la stessa chiave privata archiviata nell'hardware con un numero di servizi che vivono nella stessa casella? Inoltre, ci sono potenziali pericoli nel riutilizzare la stessa chiave privata memorizzata sul filesystem su più servizi nella stessa casella? (supponendo che la chiave privata sia root:root 0400 )