对于我的公司,我开始管理越来越多的域名;并且为这些域名管理越来越多的证书。
有什么好方法可以存储生成的基本 KEY 和 CSR 文件?我考虑在我们的私有代码服务器上使用 git repo。但这似乎不够安全。
您会建议其他系统吗,或者如何使用像 git 这样的源代码控制系统安全地完成此操作?
另外:存储正在使用的 CRT 文件和 CA 文件是否有意义?
答案1
以下是我使用的一些可能有帮助的一般准则:
- 尽可能使用通配符证书来减少所有证书的数量和管理范围。
- 使用像 DigiCert 这样的优秀 CA,您可以在其中从不同的 CSR 创建证书副本,并根据需要添加 SAN(主题备用名称)。
- 在管理或安全边界尽可能保持私钥相同。对于由我们的网络团队完成的用于 SSL 加速的负载平衡器上的证书,使用一个私钥;对于进入 Web 服务器的证书,使用不同的私钥。
- 例如,如果您在 Microsoft 服务器上有一个私有 CA,那么您可以将文件存储在那里,因为 Microsoft 建议在不需要时关闭私有 CA。