Как использовать подстановочный сертификат?

Question

Как использовать подстановочный сертификат?

У меня есть сертификат подстановочного знака (файл pfx), и я сомневаюсь, как его использовать. Должен ли я установить его на все мои серверы приложений или, альтернативно, создать новый сертификат и подписать его подстановочным сертификатом?

Я читал, что существуют ограничения в отношении этих проблем, и что не все сертификаты подстановочных знаков могут подписывать другие, так как я могу проверить, могу ли я это сделать?

Но самое главное, я должен это сделать? Я спрашиваю об этом, потому что из того, что я прочитал, файл pfx содержит закрытый ключ подстановочного знака. Другими словами, закрытый ключ домена, поэтому, если сервер скомпрометирован и этот файл украден, последствия могут быть весьма драматичными.

Я правильно понимаю эту ситуацию?

0

ssl security certificate x509

Источник

Silva 05 дек '14 в 15:14

1 ответ

Решение

Другие вопросы по тегам ssl security certificate x509

Steffen Ullrich 05 дек '14 в 18:19 2014-12-05 18:19 · Accepted Answer · 2014-12-05 18:19

Должен ли я установить это на всех моих серверах приложений

Да.

или, альтернативно, создайте новый сертификат и подпишите его с помощью сертификата подстановочного знака

Это не будет возможно.

... что не все подстановочные сертификаты могут подписывать другие

Ни один ЦС не выдаст вам сертификат для подписи других (по крайней мере, если у вас нет больших денег и знания сертификатов, а также способов их защиты и т. Д., Которых у вас в настоящее время нет).

так что если сервер скомпрометирован и этот файл украден, последствия могут быть весьма драматичными

Да, если сервер скомпрометирован, секретный ключ может быть скомпрометирован, поэтому вам действительно необходимо обеспечить безопасность сервера.