重复使用证书
Reusing certificates
我在同一台服务器上有一个网站(public 面向)和一个消息队列(仅限内部使用)。两者的流量都通过 ssl。为什么不对站点和 mq 使用相同的证书 运行?
证书中使用的 DNS 名称可能存在限制。您的 public 网站使用 CN=somedomain.org 的证书,但内部 MQ 可能具有 CN=myinternalserver.local 的证书。根据 CA 浏览器论坛 public 仅受信任的 CA(默认情况下与浏览器一起分发)无法使用此 DNS 名称颁发证书。
另一个原因是您不想向全世界公开 MQ 服务,因此颁发了 2 个不同的证书。这还有另一个好处。如果网站使用的私钥被盗(如果我没记错的话就像 Heartbleed 攻击),您将不得不撤销并只为网站制作新证书(和私钥)。 MQ 不会受到影响,因为它不是 public。
但是恕我直言,如果您可以正确保护私钥(即存储在 HSM 中),通常您可以重复使用相同的证书。
我在同一台服务器上有一个网站(public 面向)和一个消息队列(仅限内部使用)。两者的流量都通过 ssl。为什么不对站点和 mq 使用相同的证书 运行?
证书中使用的 DNS 名称可能存在限制。您的 public 网站使用 CN=somedomain.org 的证书,但内部 MQ 可能具有 CN=myinternalserver.local 的证书。根据 CA 浏览器论坛 public 仅受信任的 CA(默认情况下与浏览器一起分发)无法使用此 DNS 名称颁发证书。
另一个原因是您不想向全世界公开 MQ 服务,因此颁发了 2 个不同的证书。这还有另一个好处。如果网站使用的私钥被盗(如果我没记错的话就像 Heartbleed 攻击),您将不得不撤销并只为网站制作新证书(和私钥)。 MQ 不会受到影响,因为它不是 public。
但是恕我直言,如果您可以正确保护私钥(即存储在 HSM 中),通常您可以重复使用相同的证书。