我在一家网页设计公司担任技术支持。我们过去的许多客户都由另一家公司(“X 公司”)托管,但他们通过我们续订 SSL 证书。我们销售 GeoTrust 的 QuickSSL。我们在 .NET 中开发,因此所有托管都是 IIS。
自从我们开始(然后停止)推荐 X 公司以来,该公司的状况每况愈下,现在向他们续订 SSL 证书是一件麻烦事。有一段时间,他们向我们收取 50 美元/续订费用以弥补他们的时间(导出 CSR、安装 CER)。他们经常将网站迁移到新服务器,并说 SSL 无法随之转移(偶尔会尝试出售他们自己的 SSL)。我们无法向客户解释为什么我们不能重新发送证书以在新服务器上使用(我们只有 CSR 和 CER)。
因此,我希望在我们的一台内部 IIS 服务器上从头到尾订购这些 SSL 证书,然后导出 PFX 并将其发送给 X 公司。如果他们丢失了证书,我们会在我们这边留有副本,出错的几率就会更小。
我找不到其他人这样做。这是个坏主意还是只是孤注一掷?我是否忽略了技术限制(例如 IIS6 到 IIS7)?如果您的 SSL 供应商这样做,您会不会放弃?我无法确定这是个坏主意还是一个显而易见的主意。
謝謝 SF!
答案1
我找不到其他人在这么做。这是个坏主意还是孤注一掷?
我认为,如果您有系统来保护您保存的密钥不被泄露,那么这并非完全是个坏主意。当我知道我的客户无法创建密钥并且我不相信网络托管商不会丢失密钥时,我曾为我的客户这样做过几次。
我认为我不会将其他人的密钥保存在可公开访问的 IIS 机器上。我建议您在具有良好防火墙且非常安全的机器上为您的客户端创建密钥。
如果您的 SSL 供应商这样做,您会失望吗?
我会对此有点不耐烦,但我知道如何创建自己的证书,并且我不会将我的密钥+证书提供给某些托管服务。
我认为如果可以的话可以:
- 你通知您的客户您将为他们保留钥匙和证书的副本。
- 你尽力确保他们了解潜在的风险
- 您提供了一些替代方案,告诉他们如何自己生成密钥或者在丢失密钥的情况下如何找到可以重新发行密钥的供应商。
- 您采取措施确保您所保管的密钥得到很好的保护,不会受到泄露。
他们已经将其密钥+证书和服务器信任给“X 公司”,因此他们不需要真正高安全性的设置。
答案2
考虑到私钥的敏感程度,如果我的 SSL 提供商这样做,我会感到有些不爽。但只要在将私钥传输到主机并备份时小心保护私钥,就没有技术原因导致您无法安全地执行此操作。