我在共享服务器上的网站已安装 SSL 证书,我想将证书移至由其他托管公司提供的专用服务器。当前托管公司表示他们需要新的 CSR。为什么我不能在新机器上重新安装现有证书而不创建新的 CSR?
答案1
如果您使用的是共享主机,则正在使用的证书很可能也用于许多其他网站。您应该能够检查旧证书中的主题备用名称 (SAN) 列表。
在这种情况下,证书实际上并不属于您,但您已授权托管公司向您颁发涵盖您域名的证书。如果他们向您提供了相应的私钥,他们实际上就赋予了您在该服务器上托管所有其他共享主机名的能力,这对于其他客户来说当然是不可接受的。
即使该证书未与其他客户共享,托管公司也可以访问其私钥,并且从技术上讲它可以继续为您的域名提供服务。从一家托管公司转移到另一家托管公司时,最好重新密钥您的证书,至少可以从旧公司手中夺回对旧证书的控制权。
当迁移到新主机时,您可能希望:
- 确保旧证书已被撤销,以便托管公司不再使用该证书为您的主机名提供服务;
- 为您的新专用主机获取新证书。
为了防止旧证书被继续使用,除了撤销旧证书外,生成新的密钥对也是有意义的(因为控制旧证书的人也会拥有其私钥)。因此,您需要创建一个新的 CSR。
答案2
可能是因为他们的系统不允许恢复原始私钥。如果他们使用某种 HSM(硬件安全模块),那么他们在生成私钥后会将其输入系统,然后将其撕碎,或者甚至 HSM 具有生成不导出私钥的请求的功能。