我的公司正在使用新平台改造其网站和子域,这需要我们升级到性能更佳的 LAMP 服务器。话虽如此,我想重新使用最初为与我们的原始 LAMP 堆栈配合使用而创建的通配符 SSL。
我的目的是将我们的 SSL 机构提供的中级和主要证书复制到新的 LAMP 堆栈,更新 Apache 配置文件以使用新的 SSL 证书并重新启动我的 Web 服务器。
重复使用此类 SSL 证书时,我是否应该注意任何安全问题?我只是想确保我没有忽略一些重要的事情。谢谢。
答案1
首先,让我们澄清一点:你的证书是民众。任何人都可以自由地从您的服务器下载它们。这是设计使然。唯一需要真正保密的文件是您在最初获取证书时生成的私钥文件。任何设法获得此文件的人都可能冒充您的服务。
现在,回答你的问题:除了确保你的私钥在主机之间传输时保持安全外,没有什么可担心的。如果你担心传输密钥,并且想要极度谨慎,你可以在gpg移动密钥之前使用加密密钥,然后在新服务器上解密。
答案2
安全地复制旧证书和密钥并没有什么根本错误,只要您确定您理解@EEAA 所澄清的区别。
但我认为建立总是在执行一些比额外设置步骤更重要的重大操作时,重新密钥化(重新颁发)证书。以下 3重复使用时应注意哪些安全问题您的旧密钥,但如果您重新输入密钥,则可以减轻影响:
- 干净开始 + 安心:在全新堆栈上安装后,您根本不必担心潜在的先前的违规行为再也没有了。
- 以前的服务器的备份不再会成为丢失密钥的负担未来的违规行为(您仍然需要确保没有旧版本的备份,原因并非密钥:经常被遗忘,因为服务器已经移动)
- 新算法:据我所知,目前没有相关的转变 - 但当时间再次到来时,很可能会重新输入自动更新向您介绍当前的约束(扩展)和哈希算法集。SHA-1 弃用比 md5 弃用要好得多,希望 CA 下次敦促其客户更快地升级。
大多数 CA 允许您通过免费的自助服务流程使用新密钥生成新证书 - 该证书有效期至您之前的证书过期,颁发新证书后旧证书将立即失效。