提供后,我必须使用 .pfx 或 .cer 将其导入 Windows Server(2008 R2)上的 IIS,以获取可供使用的 SSL 证书。
我的问题是,我是否应该在删除这些文件后成功地将证书导入证书存储区?我以为有人告诉我这很重要,因为你不希望任何人获得这些文件并能够使用证书或恶意导入。我知道如果需要传输证书,我始终可以导出证书,但我想知道导入后我是否应该从服务器上删除这些文件?
答案1
SSL 证书有两部分:公钥和私钥。
.CER 文件不包含任何秘密。它是 Web 服务器发送给连接到启用 SSL 的站点的每个客户端的公钥。从安全角度来看,没有理由删除它。事实上,您可能希望备份它,以防服务器死机并需要在替换它的任何服务器上重新使用它。
但是,如果没有匹配的私钥,.CER 文件就毫无用处。创建证书请求时,Windows 会自动生成私钥。您的 .PFX 文件肯定包含 .CER 的副本。但是它可以不可以包含私钥的副本。这完全取决于谁生成了它以及如何生成它。
如果 PFX 文件确实包含私钥,那么答案是肯定的。将这个坏家伙锁在网站外,并从服务器上删除副本。拥有该文件的人可能会用它来冒充您的网站。
如果 PFX 文件不包含私钥,那么它就和原始 CER 文件一样没用。如果可能的话,您可能希望导出一个新的 PFX 文件,该文件做包含用于 DR/备份目的的私钥(假设证书允许私钥导出)。
答案2
一个想法是将它们备份到 USB 拇指驱动器并放入保险箱中。
确实,如果证书包含私钥,那么您肯定不希望它落入坏人之手。将证书导入商店后,您无需保留 PFX 或 CER 文件。但最好将证书备份到某处,以防您需要重建服务器或网站。