我的问题与正确的证书管理有关。
不同的方为我们的组织提供域/服务器/应用程序服务。
- 一方管理我们的 DNS(及更多)。
- 另一方(在其服务器上)管理多个应用程序。
在我目前的组织中,大多数“技术” IT 管理工作都外包给了第一方。
由于我所在组织的性质,我们同时需要域验证 (DV) 和组织验证 (OV) 证书。
第 2 方(在必须安装证书的服务器上为我们运行应用程序)告诉我们:
A - 对于 DV 证书:“我们不控制您的域名,因此我们无法申请证书”。我的回答是:对于 DV 证书,您还可以使用您的服务器证明控制权(HTTP/URL 证明)。您不需要控制我们的 DNS(由另一方管理)。
B - 对于 OV 证书:“我们无法在证书请求期间提供证明 - 只有您(您所在组织的工作人员)可以提供。”
现在,我认为一方请求证书,然后将该证书(和私钥)发送给控制服务器的一方的做法并不好,即使您通过“安全”渠道发送。我认为您还希望控制必须放置证书的服务器的一方也提出请求。
长话短说:谁应该和能够在我们的案例中请求这些证书?(并且成为合法所有者,监控它们,更新它们等)
答案1
应该由掌握私钥的一方来申请证书。
认证旨在适应这种情况。让我们来看一个更简单的场景:您正在操作一个 Web 服务器。您需要一个证书。您生成一个公钥和一个私钥。公钥被打包为证书签名请求 (CSR),并称为证书签名请求。您将其发送给您的证书颁发机构。他们签署 CSR,从而使其成为证书并将其发回给您。
良好的安全性可以最大限度地减少有权访问机密的人员数量以及重新发送这些机密的数量。
因此,应该由“第 2 方”请求签名证书。不过,此时情况会变得稍微复杂一些。证书和密钥属于对你来说,然而恕我直言,如果第二方有明确的、委托的人员负责处理部署证书,那么他们也负责配置过程。
检查你的合同。