Vor kurzem haben wir einen Server mit Tomcat erstellt und wir fügen auch SSL-Unterstützung für diesen kleinen Server hinzu. Für die SSL-Unterstützung benötigen wir ein Zertifikat, das von einem dritten Emittenten wie Entrust, Thawte usw. ausgestellt wurde.
Ein Kollege hat mir gesagt, dass das Zertifikat an eine bestimmte Maschine gebunden ist. Sobald wir das ausgestellte Zertifikat erhalten haben, kann dieses Zertifikat nicht in einem anderen Computer verwendet werden.
Ich bezweifle das vollständig, da der CSR keine Informationen über die Maschine enthält. Stimmt das?
Danke
Das Zertifikat ist nicht unbedingt an eine bestimmte Maschine gebunden. Um ein Zertifikat auf einem Computer verwenden zu können, benötigen Sie zwei Dinge: das Zertifikat selbst und seinen privaten Schlüssel. Sie sollten den privaten Schlüssel zusammen mit dem CSR generiert haben (abhängig davon, welche Tools Sie verwendet haben).
Bei einigen Systemen ist es nicht möglich, den privaten Schlüssel erneut zu extrahieren (zB Windows hat eine Option, einen privaten Schlüssel so zu importieren, dass er nicht mehr exportiert werden kann, aber soweit ich weiß, kann dies umgangen werden, wenn Sie haben auf diesem Rechner ausreichende Zugriffsrechte). In Fällen, in denen Sie eine Smartcard oder ein Hardwaretoken verwenden, wird der private Schlüssel dort möglicherweise so generiert, dass Sie ihn nicht extrahieren können (in diesem Fall wäre es sinnvoll, das Token auf die neue Maschine zu verschieben). .
Der andere Teil ist das Zertifikat und sein Name. Der / die Hostname (n) im Zertifikat (der häufig auch in der CSR gefunden wird, obwohl dies letztendlich nicht notwendig ist) sollten die Hostnamen dieser Maschine sein, wie sie von den Clients gesehen werden, die versuchen, sich mit ihr zu verbinden (siehe RFC 2818 Abschnitt 3.1 für Details zur Überprüfung des Hostnamens für HTTPS). Obwohl das Zertifikat selbst nicht hardwaremäßig an einen bestimmten Computer gebunden ist, ist es an diesen Hostnamen gebunden (wodurch Sie beispielsweise die Hardware für diesen Computer oder seine IP-Adresse ändern können).
>Tags und Links ssl ssl-certificate