¿Es posible usar certificados comodín en múltiples dispositivos?

18

Tengo un servidor en el que quiero usar un certificado comodín. Se ejecuta múltiples servicios. Compro un certificado comodín para poder proteger mail.something.dom, www.something.dom, im.something.dom, calendar.something.dom, addressbook.something.dom

Unos meses más tarde entro en varios servidores nuevos. Ahora tengo suficientes servidores que podría configurar uno para cada subdominio que creé. Quiero usar mi certificado de comodín en lugar de comprar un certificado SSL para cada uno.

¿Es posible si yo:

  1. Copie las claves públicas y privadas para el certificado de comodín del servidor original.
  2. Coloque una copia de cada una de las claves en cada nuevo servidor.
  3. Coloque una copia del certificado de comodín en cada nuevo servidor.

Si este no es el proceso para hacerlo, ¿existe algún proceso que funcione?

    
pregunta Everett 22.08.2013 - 18:12
fuente

3 respuestas

19

El proceso que describas funcionará. Si podrá promulgarlo es algo diferente: depende de dónde esté exactamente su clave privada. En los sistemas Windows, una clave privada puede marcarse como "no exportable", lo que significa que Windows no permitirá la exportación; la exportación aún es posible (Windows es solo software, no puede hacer milagros) pero un poco hackish . En los sistemas Linux, las claves privadas son solo archivos y los archivos se pueden copiar a voluntad. Si la generación y el almacenamiento de su clave privada implicaban hardware dedicado , consulte la documentación de su HSM para ver las posibles opciones.

Las posibles objeciones contra dicho plan son las siguientes:

  • Puede haber problemas contractuales. Realmente depende de la CA. La CA no tiene poder técnico para evitar que mueva su clave privada de servidor a servidor (es su clave en sus máquinas, no pueden espiar eso), pero aún pueden definirla como un incumplimiento de contrato, al menos en teoría. Las CA comerciales ganan dinero vendiendo certificados, y usted está comprando y utilizando un certificado comodín precisamente para que no tenga que comprar un certificado nuevo para cada nuevo nombre de servidor; La gente comercial de la CA comercial se comprenderá comprensiblemente mareada por el concepto, de ahí la posibilidad de algún obstáculo legal.

  • El valor de una clave privada reside en su privacidad. Si su clave privada es conocida por los forasteros, entonces tiene un gran problema. Como regla general, cualquier operación de exportación-transferencia-importación potencialmente expone la clave privada; Cuanto más viaja una clave privada, menos privada se vuelve. La "forma recomendada" es que cada servidor (máquina física) genere su propio par de claves y nunca exporte la clave privada. Lo que sugiere está en desacuerdo con este principio general, así que tenga cuidado.

  • Si la clave privada es robada, entonces el certificado tendrá que ser revocado, y esto afectará a todos sus servidores al mismo tiempo. Con varios certificados distintos, el daño es más contenido. De manera similar, cuando el certificado de comodín caduque, deberá realizarse una renovación y los nuevos certificados se instalarán en todos los servidores simultáneamente. Dependiendo de cuántos servidores distintos tenga, esto puede resultar engorroso.

respondido por el Tom Leek 22.08.2013 - 19:33
fuente
4

Puede ser un problema de licencia, y cuesta más dinero si eres sincero

Algunos proveedores le piden que compre licencias para instalar el certificado en varios servidores. Esto está en el sistema de honor, y si alguna vez necesita agregar más hosts, el proveedor de CA con gusto tomará su dinero.

Copiar el certificado a otros hosts es un lugar común

Es técnicamente posible copiar el certificado en varios hosts (siempre que la clave privada sea exportable) sin pagar una licencia, pero dependiendo del proveedor, esto puede ser deshonesto.

Considere la tecnología SNI

Si sus clientes utilizan un navegador web moderno, puede usar la misma máquina y la misma dirección IP para todos sus sitios de subdominio (im.something.com, calendar.something.com, addressbook.something.com). Esto es algo que usted configuraría en su servidor web y permitiría que el software (navegador web) maneje la negociación del nombre SNI por usted. De esa manera, usted no paga nada en tarifas de licencia adicionales y no tiene que usar una dirección IP adicional, etc.

SNI no es una buena opción si debe admitir navegadores más antiguos que no admiten esta tecnología

    
respondido por el random65537 22.08.2013 - 18:44
fuente
1

Sí, y no.

Sí, definitivamente es posible. Dependiendo de la CA que lo haya firmado, es posible que no se le permita por contrato. Algunas de las CA quieren más dinero para utilizar un certificado de comodín en varios dispositivos físicos. No creo que haya nada técnicamente diferente entre el comodín que se usará en un servidor para varios nombres en el mismo dominio y el comodín que se usará en múltiples servidores con múltiples nombres en el mismo dominio. (Corríjame si me equivoco; solo he comprado uno que se puede usar en varios servidores)

Otras CA solo ofrecen un servicio de comodín y se pueden usar en múltiples dispositivos con varios nombres dentro del mismo dominio.

    
respondido por el Rod MacPherson 22.08.2013 - 18:35
fuente

Lea otras preguntas en las etiquetas