抱歉,如果这是一个真正的新手问题,但对两个不同的守护进程使用相同的 SSL 证书是否可行/是一种好的做法?我正在运行 VSFTPD,我想将其设置为使用 FTPS 运行。我已经有一个 SSL 证书,我正在使用它来保护 Apache 上的 phpmyadmin,我想知道我是否可以使用相同的证书(我假设域必须相同)。
任何对此的想法都将受到赞赏。
非常感谢,
詹姆士。
答案1
是的,可以这样做,因为这两个服务正在监听不同的端口。
不过,抱歉,我不太熟悉使用 VSFTPD 或 Apache 执行此操作的具体细节。
您只需确保 VSFTPD 和 Apache 使用相同的私钥以及证书本身(以及可能与您的 SSL 证书一起使用的任何中间根证书 - 如果您不需要为 apache 安装证书,那么您也不需要为 VSFTPD 安装证书)。是的,域名必须相同,以避免任何证书错误。
答案2
x.509 证书是根据域名颁发的,因此无论什么服务正在监听该特定域名并想要使用 SSL/TSL 加密,都应使用为该域颁发的 x.509 证书。
我认为这超出了良好做法的范围,不这样做则是不好的做法。不过,您可能要考虑将您的服务分散到单独的子域(如 ftp.domain.example、imap.domain.examle)上,然后为每个子域使用不同的证书。
一些管理员喜欢保持简单,因此对所有这些子域使用通配符证书,从加密的角度来看,我不建议这样做,因为使用该通配符证书的某个服务发生漏洞(如果能够获取私钥)也会使所有其他服务也受到攻击。
答案3
这种方法的问题在于:
1)FTPd 和 HTTPd 必须在同一个域上运行(如果您未在防火墙级别使用端口重定向,则意味着同一个 IP 地址)。或者您可以为 SSL 证书指定备用名称,例如 ftp.domain.com、domain.com www.domain.com 等。
2)FTPd / HTTPd 可以解密彼此的数据。因此,如果攻击者破坏了 FTPd,那么就会破坏 HTTPd 流量安全,反之亦然。