将通配符 SSL 证书从一个 LAMP 堆栈移动到另一个 LAMP 堆栈存在安全问题。

将通配符 SSL 证书从一个 LAMP 堆栈移动到另一个 LAMP 堆栈存在安全问题。

我的公司正在使用新平台改造其网站和子域,这需要我们升级到性能更佳的 LAMP 服务器。话虽如此,我想重新使用最初为与我们的原始 LAMP 堆栈配合使用而创建的通配符 SSL。

我的目的是将我们的 SSL 机构提供的中级和主要证书复制到新的 LAMP 堆栈,更新 Apache 配置文件以使用新的 SSL 证书并重新启动我的 Web 服务器。

重复使用此类 SSL 证书时,我是否应该注意任何安全问题?我只是想确保我没有忽略一些重要的事情。谢谢。

答案1

首先,让我们澄清一点:你的证书是民众。任何人都可以自由地从您的服务器下载它们。这是设计使然。唯一需要真正保密的文件是您在最初获取证书时生成的私钥文件。任何设法获得此文件的人都可能冒充您的服务。

现在,回答你的问题:除了确保你的私钥在主机之间传输时保持安全外,没有什么可担心的。如果你担心传输密钥,并且想要极度谨慎,你可以在gpg移动密钥之前使用加密密钥,然后在新服务器上解密。

答案2

安全地复制旧证书和密钥并没有什么根本错误,只要您确定您理解@EEAA 所澄清的区别。

但我认为建立总是在执行一些比额外设置步骤更重要的重大操作时,重新密钥化(重新颁发)证书。以下 3重复使用时应注意哪些安全问题您的旧密钥,但如果您重新输入密钥,则可以减轻影响:

  1. 干净开始 + 安心:在全新堆栈上安装后,您根本不必担心潜在的先前的违规行为再也没有了。
  2. 以前的服务器的备份不再会成为丢失密钥的负担未来的违规行为(您仍然需要确保没有旧版本的备份,原因并非密钥:经常被遗忘,因为服务器已经移动)
  3. 新算法:据我所知,目前没有相关的转变 - 但当时间再次到来时,很可能会重新输入自动更新向您介绍当前的约束(扩展)和哈希算法集。SHA-1 弃用比 md5 弃用要好得多,希望 CA 下次敦促其客户更快地升级。

大多数 CA 允许您通过免费的自助服务流程使用新密钥生成新证书 - 该证书有效期至您之前的证书过期,颁发新证书后旧证书将立即失效。

相关内容