Claves privadas diferentes para una extensión de nombre común en dos servidores

2

¿Los proveedores de certificados le permiten tener varios certificados con el mismo nombre común pero diferentes CSR de diferentes claves privadas, todas operando al mismo tiempo? A primera vista, es la misma pregunta preguntado aquí , pero mi contexto es diferente.

Mi plan es tener dos servidores web: uno que admita solo cifrados modernos y otro que muestre un buen mensaje de error si su navegador no admite uno de esos. Un equilibrador de carga leerá el mensaje de saludo del cliente y, si el navegador admite uno de los cifrados de la lista, se enviarán al sitio real; si no lo hacen, se envían al sitio que les da el error y un curso de acción sugerido.

Sin embargo , preferiría no tener la misma clave privada en estos dos sitios, ya que el sitio de "mensaje de error" es más propenso a ser propietario debido a los cifrados antiguos.

Quizás algunas autoridades de certificación emitirán dos certificados con el mismo CN y diferentes CSR y otros no. ¿Pensamientos?

    
pregunta theglossy1 19.09.2016 - 19:26
fuente

3 respuestas

2
  

Diferentes claves privadas para un ... certificado

Esto no es posible. El certificado firma un único CSR, basado en una única clave privada.

La otra clave privada debería estar firmada con un certificado diferente.

  

¿Los proveedores de certificados le permiten tener varios certificados con el mismo nombre común ...

@ Matt Nordhoff está exactamente aquí.

  

Dependiendo de su autoridad de certificación, es posible que pueda usar el botón "Volver a emitir" y hacerlo de forma gratuita. (¡Mientras no se revoque automáticamente!)

¡Esto podría funcionar!

No sé si esta es una solución recomendada. Me sentiría más cómodo si la CA apoyara oficialmente esta solución.

  

O puedes usar Let's Encrypt.

Suponiendo que su certificado es solo Validación de Dominio (la mayoría lo es), entonces puede automatizar el proceso de renovación de certificado y hacer uso de los certificados gratuitos de 90 días de letsencrypt.org.

Creo que Let's Encrypt está intentando eliminar el uso de HTTP no cifrado al permitir que los servidores web mantengan automáticamente los certificados HTTPS de forma predeterminada.

    
respondido por el George Bailey 19.09.2016 - 22:03
fuente
0

Un certificado es poco más que:

  • una clave pública,
  • alguna información de identificación y
  • una firma de una CA que garantiza la relación entre los dos primeros.

En ese sentido, no puede tener dos claves privadas para un solo certificado porque no puede tener dos claves privadas para una sola clave pública (al menos en RSA y ECDSA).

Sin embargo, no hay nada que impida que una identidad (por ejemplo, una CN) se asocie con más de una clave pública.

Esto significa que puedes lograr lo que quieres al tener diferentes certificados para el mismo dominio.

Los detalles de eso dependerán de su CA. AFAIK letsencrypt no tiene ningún problema con eso. Otras CA probablemente le cobrarán por cada certificado.

    
respondido por el GnP 20.09.2016 - 01:57
fuente
-2

Con respecto a su principal preocupación, que es tener dos certificados diferentes con dos tipos de cifrado diferentes pero el mismo CN ... En última instancia, como ya debe saber, todos los servidores están siendo parchados para cosas como sistemas de cifrado y cifrado débiles. Incluso Microsoft tiene actualizaciones y arreglos manuales: enlace

Entonces, mientras intentas facilitar las cosas a tus usuarios, debo preguntar, ¿estás sirviendo a la comunidad al intentar continuar con el soporte para cifrados / algoritmos más débiles?

¿No sería mejor advertirles que actualicen sus navegadores? ¿O es que no es una opción para su negocio?

    
respondido por el mumbles 20.09.2016 - 05:28
fuente

Lea otras preguntas en las etiquetas