我需要为通配符认证生成一个 ssl csr,我可以使用 openssl 和 ssh 来完成(我不使用任何基于 Web 的控制面板,例如 cPanel)。
现在我将在下周获得一台新服务器,所以我的问题是,如果我生成 CSR 并获得 SSL 证书并将其安装在服务器#1 上,下周当我移动所有内容(包括 IP 地址)时,它会影响 SSL 吗?
我不确定 CSR 中包含什么信息,以及它是否有任何服务器硬件 ID 等,或者它是否完全由域名驱动。
还想知道 SSL 是否绑定到特定的 IP 地址,这意味着如果我稍后更改 IP 地址,这是否会影响 SSL。
谢谢!
答案1
不,SSL 证书没有将其与特定机器甚至 IP 地址绑定的识别信息。只要 DNS 名称相对于证书上的 CN/subjectAltNames 没有变化,用户就不会注意到任何事情。
答案2
SSH 和 SSL 使用服务器的私钥作为标识符。openssh 实现会记住 IP 地址、服务器的相应公钥以及 DNS 名称(如果已提供)。默认设置通常意味着 SSH 在连接时会发出警报。这可以在 /etc/ssh/ssh_config 中覆盖(man ssh_config有关详细信息,请参阅)。
已知主机信息保存在 $HOME/.ssh/known_hosts 中,系统范围的主机信息保存在 /etc/ssh/known_hosts 中
因此,如果您想保留相同的域名和 IP 地址并避免任何客户端抱怨,请将相同的证书(自签名或其他)从旧服务器转移到新服务器。
答案3
您不需要 CSR,因为它仅用于生成证书,但您需要保留旧服务器的 SSL 密钥和证书副本,并将其复制到新服务器。否则,在新服务器中安装证书时,您最终会遇到错误。
-$