web-dev-qa-db-ja.com

複数のデバイスでワイルドカード証明書を使用することは可能ですか?

ワイルドカード証明書を使用したいサーバーがあります。複数のサービスを実行します。ワイルドカード証明書を購入して、mail.something.dom、www.something.dom、im.something.dom、calendar.something.dom、addressbook.something.domを保護できるようにします

数か月後、私はいくつかの新しいサーバーに入りました。これで、作成したサブドームごとに1台をセットアップできるサーバーが十分にあります。証明書ごとにSSL証明書を購入するのではなく、ワイルドカード証明書を使用したい。

私ができる場合、それは可能ですか?

  1. ワイルドカード証明書の公開鍵と秘密鍵を元のサーバーからコピーします。
  2. 各新しいサーバーに各キーのコピーを配置します。
  3. ワイルドカード証明書のコピーを新しい各サーバーに配置します。

これがこれを行うプロセスではない場合、機能するプロセスはありますか?

tlscertificatespublic-key-infrastructure
20
Everett

あなたが説明するプロセスはうまくいきます。それを制定できるかどうかは異なります。つまり、秘密鍵の場所によって異なります。 Windowsシステムでは、秘密鍵が「エクスポート不可」としてマークされる場合があります。これは、Windowsがエクスポートを許可しないことを意味します。エクスポートはまだ可能です(Windowsはソフトウェアにすぎず、奇跡を起こすことはできません) ややハック 。 Linuxシステムでは、秘密鍵は単なるファイルであり、ファイルは自由にコピーできます。秘密鍵の生成とストレージに関連する場合 専用ハードウェア 可能なオプションについては、HSMのドキュメントを参照してください。

そのような計画に反する可能性のあるものは次のとおりです。

  • 契約上の問題があるかもしれません。それは本当にCAに依存します。 CAには、サーバー間で秘密キーを移動することを防ぐ技術的な力はありません(マシン上のキーであり、スパイすることはできません)が、少なくとも理論的にはそれを契約違反として定義することはできます。商用CAは証明書の販売から収益を上げており、ワイルドカード証明書を正確に購入して使用しているため、新しいサーバー名ごとに新しい証明書を購入する必要はありません。商用CAの商用の人々は当然のことながらその概念に不安を感じるため、何らかの法的妨害の可能性があります。

  • 秘密鍵の価値は、そのプライバシーにあります。秘密鍵が部外者に知られるようになると、大きな問題が発生します。一般的なルールとして、すべてのexport-transfer-import操作は潜在的に秘密鍵を公開します。秘密鍵が移動するほど、秘密鍵は少なくなります。 「推奨される方法」は、各サーバー(物理マシン)が独自の鍵ペアを生成し、秘密鍵をまったくエクスポートしないことです。あなたが示唆しているのは、この一般的な原則と矛盾しているので、注意してください。

  • 秘密鍵が盗まれた場合、証明書を取り消す必要があり、これは同時にallサーバーに影響を与えます。いくつかの異なる証明書を使用すると、損傷がより抑制されます。同様に、ワイルドカード証明書の有効期限が切れると、更新が行われ、新しい証明書がすべてのサーバーに同時にインストールされます。サーバーの数によっては、面倒な場合があります。

21
Tom Leek

ライセンスの問題である可能性があり、正直な場合はより多くの費用がかかります

一部のベンダーは、複数のサーバーに証明書をインストールするためのライセンスを購入するように求めています。これは名誉システム上にあり、ホストを追加する必要がある場合、CAベンダーは喜んであなたのお金を受け取ります。

証明書を他のホストにコピーすることは一般的です

ライセンスを支払うことなく、証明書を複数のホストにコピーすることは技術的に可能です(秘密キーがエクスポート可能である場合)。ただし、ベンダーによっては、これが不正である場合があります。

SNIテクノロジーを検討

顧客が最新のWebブラウザーを使用している場合は、すべてのサブドメインサイト(im.something.com、calendar.something.com、addressbook.something.com)に同じマシンとIPアドレスを使用できます。これは、Webサーバーにセットアップし、ソフトウェア(Webブラウザー)にSNI名のネゴシエーションを処理させるものです。そうすれば、追加のライセンス料で何も支払う必要がなくなり、追加のIPアドレスなどを使用する必要がなくなります。

このテクノロジーをサポートしていない古いブラウザーをサポートする必要がある場合、SNIは適切ではありません。

4
goodguys_activate

はいといいえ。

はい、それは間違いなく可能です。署名したCAによっては、契約で許可されていない場合があります。一部のCAは、ワイルドカード証明書を複数の物理デバイスで使用するためにより多くのお金を必要としています。同じドメイン内の複数の名前に対して1つのサーバーで使用されるワイルドカードと、同じドメイン内の複数の名前を持つ複数のサーバーで使用されるワイルドカードには、技術的に何か違いがあるとは思いません。 (間違っている場合は修正してください。複数のサーバーで使用できるものを購入したことがありません)

他のCAは1つのワイルドカードサービスのみを提供し、同じドメイン内の複数の名前を持つ複数のデバイスで使用できます。

1
Rod MacPherson