Creando el certificado ssl para un servicio de terceros

3

Tengo sitio web, por ejemplo. enlace . Quiero conectar el servicio de terceros al dominio enlace . Este servicio les pidió que les entregaran el certificado ssl (.crt + private_key), creado en mi servidor, para que pudieran instalarlo en su servidor.

Como lo entendí, haré lo siguiente:

  1. crear clave, csr; aprobar que soy el propietario del dominio y buscar certificado del emisor;
  2. proporcione .key y .crt al servicio de terceros (No copiar, pero borrar de mi servidor y dar archivos al servicio).
  3. apunte catalog.mysite.com a la ip del servicio.

Parece un procedimiento simple, pero ¿comprometerá de alguna manera la seguridad de mi servidor o del dominio mysite.com?

    
pregunta Parks 23.01.2017 - 14:46
fuente

2 respuestas

2

Si crea un certificado solo para catalog.mysite.com, esto no pondrá en peligro su seguridad (más). Todo lo que le permite a este tercero es ejecutar su servidor en el dominio "catalog.mysite.com". Obviamente, pueden leer todo lo que se envía a "catalog.mysite.com".

Pero si te entiendo correctamente, eso es exactamente lo que quieres de ellos.

Si también agrega "mysite.com", "www.mysite.com" o cualquier otro subdominio al certificado, este tercero también puede ejecutar un servidor que se identifique como "mysite.com".

Algunas autoridades de certificación agregan automáticamente "mysite.com" a un certificado para "catalog.mysite.com". No obtenga un certificado de ellos.

    
respondido por el Josef 23.01.2017 - 15:04
fuente
0

EDITAR: Parece que interpreté mal tu pregunta.

Si un servicio de terceros aloja un sitio web para usted, entonces sí, debe darles la clave privada del certificado. Sin embargo, como señaló Josef, debe crear un certificado que solo cubra el mínimo necesario, es decir, solo para catalog.example.com .

Si les da un certificado para *.example.com , entonces también pueden hacerse pasar por otros sitios en su dominio, como mail.example.com , admin.example.com , etc. Si esto no es lo que desea, no les dé la información técnica. capacidad para hacer eso. Al otorgar a otros un certificado con una clave privada, usted está delegando una autoridad para que represente una parte de su dominio. Solo delegue lo que sea necesario y no otra cosa.

Respuesta original:

Usted nunca le da una clave private a nadie! El nombre lo tiene, es privado!

Usted genera un certificado autofirmado utilizando un par de claves públicas y privadas. Si quieren verificar que es su servidor, le da a otros su clave pública (es decir, el archivo de certificado) a través de un canal seguro. Si desea verificar su servidor, pídales que le proporcionen la clave pública de manera segura o que una autoridad de confianza mutua (es decir, CA) les firme un certificado.

    
respondido por el kevin 23.01.2017 - 14:51
fuente

Lea otras preguntas en las etiquetas