我有两个带有 ALB 的 EC2 实例,我需要 Tomcat 的 SSL 证书。我没有对 EC2 实例的 shell 访问权限,只能通过 Ansible 操作它们。我必须生成证书请求,但我需要一个密钥才能执行此操作。
我可以在自己的机器上生成密钥并使用它来请求证书吗?
答案1
是的,从技术上讲,CSR 请求可以在任何地方使用任何密钥进行签名,但是一旦生成签名的证书,您将需要使用用于 CSR 请求的相同密钥。
换句话说,您需要以某种方式将密钥传输到服务器,以便 Tomcat 可以将证书与密钥一起使用。
答案2
处理 SSL/TLS 时,您必须考虑操作的安全性方面。
是的,从技术上讲,可以生成密钥并将其复制到另一台机器。但我的建议是仅在目标服务器上生成并保存密钥,切勿将密钥复制到其他地方。
也可以同时拥有 2 个不同的证书和密钥对。这样做的好处是,如果一个站点受到威胁,您仍然可以使用尚未受到威胁的另一台机器和证书+密钥。