我有一个通配符证书(pfx 文件),但不知道如何使用它。我应该在所有应用服务器上安装它,还是创建一个新证书并用通配符证书对其进行签名?
我读到过有关这些问题的限制,并且并非所有通配符证书都可以签署其他证书,所以我如何检查我是否可以做到这一点?
但最重要的是,我应该这么做吗?我之所以问这个问题,是因为据我所知,pfx 文件包含通配符的私钥。换句话说,就是域的私钥,因此如果服务器被攻破,并且该文件被盗,后果可能非常严重。
我对这种情况的理解正确吗?
答案1
我应该在所有应用服务器上安装它吗
是的。
或者创建一个新证书并使用通配符证书对其进行签名
这是不可能的。
...并非所有通配符证书都可以签署其他证书
没有 CA 会向您提供证书来签署其他证书(至少除非您有很多钱并且对证书以及如何保证证书安全等有扎实的了解,而您目前还不具备这些知识)。
所以如果服务器被入侵,文件被盗,后果可能非常严重
是的,如果服务器受到威胁,私钥也会受到威胁,所以你必须保证服务器的安全。