SSL-Chứng chỉ máy chủ có liên kết với một máy cụ thể không?

Question

Gần đây chúng tôi đã tạo một máy chủ với tomcat và chúng tôi cũng thêm hỗ trợ SSL cho máy chủ nhỏ này. Để được hỗ trợ SSL, chúng tôi cần chứng chỉ do tổ chức phát hành thứ ba cấp như Entrust, Thawte, v.v.

Một đồng nghiệp đã nói với tôi rằng chứng chỉ có liên quan đến một máy cụ thể. Đó là khi chúng tôi nhận được chứng chỉ đã phát hành, thì chứng chỉ này không thể được sử dụng trong máy khác.

Tôi nghi ngờ điều này hoàn toàn vì CSR không chứa bất kỳ thông tin nào của máy. Điều đó có đúng không?

Cảm ơn

Answer 1

Chứng chỉ không nhất thiết phải ràng buộc với một máy cụ thể. Để có thể "sử dụng chứng chỉ" trên máy, bạn cần hai thứ: bản thân chứng chỉ và khóa riêng của nó. Bạn nên tạo khóa riêng cùng với CSR (tùy thuộc vào công cụ bạn đã sử dụng).

Một số hệ thống không cho phép bạn trích xuất lại khóa cá nhân (ví dụ: Windows có tùy chọn nhập khóa riêng theo cách bạn không thể xuất khóa nữa, nhưng theo tôi hiểu, điều này có thể bị bỏ qua nếu bạn có đủ quyền truy cập trên máy đó). Trong trường hợp bạn sử dụng thẻ thông minh hoặc mã thông báo phần cứng, khóa cá nhân có thể được tạo ở đó theo cách bạn không thể trích xuất (trong trường hợp này, di chuyển mã thông báo tới máy mới sẽ có ý nghĩa nếu cần) .

Phần khác là chứng chỉ và tên của chứng chỉ. Tên máy chủ trong chứng chỉ (thường được tìm thấy trong CSR, mặc dù đó không nhất thiết là cuối cùng), nên là tên máy chủ của máy này, như được các khách hàng cố gắng kết nối với nó (xem RFC 2818 Mục 3.1 để biết chi tiết về xác minh tên máy chủ lưu trữ cho HTTPS). Như vậy, mặc dù bản thân chứng chỉ không được gắn với một máy cụ thể về phần cứng, nó sẽ được gắn với tên máy chủ này (cho phép bạn thay đổi phần cứng cho máy này hoặc địa chỉ IP của nó).