web-dev-qa-db-ja.com

サイトの移行中にSSL証明書をあるホストから別のホストに移行する

新しいクライアントがサイトを以前の信頼できないホストから新しいホスト(クラウドベース)に移行するのを支援しています。彼らはSSL証明書(GeoTrustSSL)でecomサイトを運営しています。彼らのためにサイトを移動してから、D.N.Sを新しいサーバーに更新する予定です。

ここでの問題は、現在のホストが(私たちまたはクライアントと)ボールをプレーしていないことです。クライアントはドメイン名を所有していますが、SSL証明書を登録していません。現在のサーバーにアクセスできません。

別の証明書を発行することはできますか(ただし、古い証明書は実行したままにします)?これはプロバイダーによって異なりますか?

domain-name-systemsslhttpsmigration
5
PurplePlatform

おそらく、秘密鍵にアクセスできない現在の証明書は、少なくともドメイン検証を使用して発行されたものです(つまり、確認を求める電子メールは、ドメインが存在するアドレスに電子メールで送信されている必要があります)。登録済み、 whois )経由で取得。

「私たちのクライアントがドメイン名を所有している」と言うとき、重要なのは、クライアントが必要なすべての連絡先の電子メールを受信することを確認することです(特に、それらの電子メールは目的のホスティングサービスに送信されません)去る)。

次の一連のアクションを(この順序で)提案します。

  • 現在の証明書を発行したCAに連絡してください。利用規約を確認すると、現在の証明書を取り消しして、同じパッケージ内で新しい証明書を再発行できる場合があります。費用。
  • それができない場合は、別のCA(またはおそらく同じ)で新しい証明書を取得します。

両方の場合において:

  • 新しい証明書要求(CSR)を生成する必要があります。これにより、秘密鍵にアクセスできるようになります。 (理想的には、技術スタッフがいる場合は、クライアント自身が行う必要があります。)
  • あなたは本当に現在のCAに連絡して状況を説明する必要があります。ドメインの正当な所有者(証明書が検証されたと思われる)として、クライアントは現在の証明書を取り消すことができる必要があります。現在の秘密鍵を持っている人がそのサイトを並行して実行するのを防ぐために、現在の証明書を侵害されたものとして効果的に扱う必要があります(ただし、少なくともDNSを新しいホストに変更しているはずです)。

コメントでのあなたの懸念について:

彼らはお互いにコミュニケーションをとっていますか、それとも一定期間内にインストールできる限り、証明書を発行して喜んでいますか?私の心配は、別のSSL証明書を取得し、新しいサーバーにインストールしてから1週間から10日間、DNSが切り替えられないため、取り消されることです。

CAは、ユーザーが制御するホスト名の証明書を発行します。通常、少なくとも(whois registerを介して)ホスト名を制御していることを確認するのが彼らの仕事ですが、これは、このホスト名をIPアドレスに解決する特定のDNSエントリとは関係ありません。 IPアドレスを変更したり、サーバーをオンラインにしたりすることはできません。CAの問題ではありません。

クライアントがドメイン名を所有している場合、別のSSLプロバイダーにアクセスして別の証明書を取得できますか? (その場合、ランダムなWebサイトのSSL証明書を購入するのを止めるのは何ですか)数時間以内に実行できるものでない限り、新しい証明書を取り消して発行することを心配しています。一晩で数時間のダウンタイムを許容できますが、それ以上のことはありません。

2つの異なるCAからの同じホスト名に対して2つの異なる証明書を同時に持つことができます。特定のサーバーには一度に1つしかインストールできないため、プロバイダーを切り替える場合にのみ意味があります。ダウンタイムはまったく必要ありません。 (最も長いダウンタイムは、新しいプロバイダーに切り替えたときのDNS更新のグローバルな伝播に起因する可能性があります。)

その場合、ランダムなWebサイトのSSL証明書を購入するのを止めるにはどうすればよいですか?

誰がドメインを管理するかがすべてです(EV証明書の場合は、もう少し事務処理が必要です)。クライアントのwhoisエントリを確認してください。

4
Bruno

ドメインDNSを制御している場合は、新しいsslキーを生成し、問題のホスト名に応答する新しい証明書を取得できるはずです。新しいSSL証明書が有効である限り、エンドユーザーはその変更に気付かないでしょう-IE EntrustのようなCAによって発行されます

2
ckliborn

SSLプロバイダーによって異なります。

あなたは間違いなくホスティングプロバイダーから証明書を取得できるはずです(弁護士を解散させてください!)が、それが失敗した場合、一部の認証局会社は追加料金なしで古い証明書を取り消し、新しい証明書(同じ有効期限)を発行します。

もちろん、ホストがクライアントではなくSSL証明書を購入した場合、現在の証明書を取得するよりも、新しい証明書を要求するのに適した立場にない可能性があります。

1
Shane Madden

私があなたの質問を正しく理解している場合、あなたの状況は、古いホスティングプロバイダーがあなたが現在使用しているSSL証明書と秘密鍵をあなたに与えないということですか?それは[〜#〜]非常に[〜#〜]私には日陰のようです。
ホスティングとSSL証明書の登録を行ったISP/MSPで働いていたので、証明書のキーペアが提供されない正当な理由はわかりません(アカウントが滞納していない場合)。

この場合、私は2つのステップを実行します。

  1. 元の証明書を発行したCAに連絡して(Webブラウザーで証明書の詳細を確認すると情報が表示されます)、何が起こっているかを知らせます。
    新しい証明書の発行をリクエストしますが、別の方法でアドバイスするまで、古い証明書は機能したままにしておきます。
    それができない場合は、別のCAに連絡して、新しい証明書を発行してください。

  2. (新しい証明書を使用して)サイトを新しいホストに移行するときは、元の証明書を発行したCAに連絡し、証明書が侵害されたと見なして取り消すように依頼してください。
    これにより、以前のホストが悪意のあるアクティビティにその証明書を使用するのを防ぐことができます。

1
voretaq7

秘密鍵と中間証明書を使用して、サーバーからSSL証明書をエクスポートします。別の種類のサーバーに証明書を配置する場合は、証明書を別の形式に変換します。新しいサーバーにSSL証明書と秘密鍵をインポートし、それらを使用するようにサイトを構成します。

0
eric