我正在续订通配符 SSL 证书。最简单的选择是使用我现有的私钥并使用该私钥生成新的 CSR。有什么理由(假设我的私钥没有被泄露)还要付出额外的努力并生成新的私钥吗?
答案1
如果您的密钥足够强大,能够满足您要使用的 CA 的安全要求,则没有强大的加密理由来重新生成密钥。另一方面,在创建 CSR 时生成新密钥只需一分钟,并且如果旧密钥被盗用,定期循环使用旧密钥被认为是一种很好的做法。
Debian 等糟糕事物的影响破坏了 OpenSSL如果您定期更换密钥,则风险会降低。在高安全性环境中,您会在可访问高质量随机源的受信任系统上生成密钥,但大多数人不会这么做。
答案2
如果您必须将私钥部署到不受信任/部分受信任的环境,每次最好都创建一个新的私钥。使用多个私钥而不是通配符证书可以最大限度地降低密钥泄露的风险,因此只有一个服务的安全受到损害,而不是所有服务的安全受到损害。