web-dev-qa-db-fra.com

Est-il possible d'utiliser des certificats génériques sur plusieurs appareils?

J'ai un serveur sur lequel je souhaite utiliser un certificat générique. Il exécute plusieurs services. J'achète un certificat générique pour pouvoir protéger mail.something.dom, www.something.dom, im.something.dom, calendar.something.dom, addressbook.something.dom

Quelques mois plus tard, j'arrive sur plusieurs nouveaux serveurs. J'ai maintenant suffisamment de serveurs pour pouvoir en installer un pour chaque sous-domaine que j'ai créé. Je souhaite utiliser mon certificat générique plutôt que d'acheter un certificat SSL pour chacun.

Est-il possible si je:

  1. Copiez les clés publiques et privées du certificat générique à partir du serveur d'origine.
  2. Placez une copie de chacune des clés dans chaque nouveau serveur.
  3. Placez une copie du certificat générique sur chaque nouveau serveur.

Si ce n'est pas le processus pour le faire, y a-t-il un processus qui fonctionnera?

tlscertificatespublic-key-infrastructure
20
Everett

Le processus que vous décrivez fonctionnera. La possibilité de la mettre en œuvre est différente: cela dépend de l'endroit où se trouve exactement votre clé privée. Dans les systèmes Windows, une clé privée peut être marquée comme "non exportable", ce qui signifie que Windows n'autorisera pas l'exportation; l'exportation est toujours possible (Windows n'est qu'un logiciel, il ne peut pas faire de miracles) mais n peu hackish . Sur les systèmes Linux, les clés privées ne sont que des fichiers et les fichiers peuvent être copiés à volonté. Si la génération et le stockage de votre clé privée impliquaient matériel dédié alors consultez la documentation de votre HSM pour les options possibles.

Les objections possibles contre un tel plan sont les suivantes:

  • Il peut y avoir des problèmes contractuels. Cela dépend vraiment de l'autorité de certification. L'AC n'a pas de pouvoir technique pour vous empêcher de déplacer votre clé privée de serveur à serveur (c'est votre clé sur vos machines, elle ne peut pas l'espionner), mais elle peut toujours la définir comme une rupture de contrat, du moins théoriquement. Les CA commerciales gagnent de l'argent en vendant des certificats, et vous achetez et utilisez un certificat générique précisément afin de ne pas avoir à acheter un nouveau certificat pour chaque nouveau nom de serveur; les commerciaux de l'AC commerciale se sentiront naturellement mal à l'aise avec le concept, d'où la possibilité d'un obstacle juridique.

  • La valeur d'une clé privée réside dans sa confidentialité. Si votre clé privée est connue des étrangers, vous avez un gros problème. En règle générale, toute opération d'exportation-transfert-import expose potentiellement la clé privée; plus une clé privée se déplace, moins elle devient privée. La "manière recommandée" consiste à faire en sorte que chaque serveur (machine physique) génère sa propre paire de clés et n'exporte jamais la clé privée. Ce que vous suggérez est contraire à ce principe général, alors méfiez-vous.

  • Si la clé privée est volée, le certificat devra être révoqué, ce qui affectera tous vos serveurs en même temps. Avec plusieurs certificats distincts, les dommages sont plus contenus. De même, lorsque le certificat générique expire, un renouvellement devra être effectué et les nouveaux certificats installés sur tous les serveurs simultanément. Selon le nombre de serveurs distincts dont vous disposez, cela peut s'avérer lourd.

21
Tom Leek

Cela peut être un problème de licence et coûter plus cher si vous êtes honnête

Certains fournisseurs vous demandent d'acheter des licences pour installer le certificat sur plusieurs serveurs. C'est sur le système d'honneur, et si jamais vous avez besoin d'ajouter plus d'hôtes, le fournisseur CA se fera un plaisir de prendre votre argent.

La copie du certificat vers d'autres hôtes est courante

Il est techniquement possible de copier le certificat sur plusieurs hôtes (tant que la clé privée est exportable) sans payer de licence, mais selon le fournisseur, cela peut être malhonnête.

Envisagez la technologie SNI

Si vos clients utilisent un navigateur Web moderne, vous pouvez utiliser la même machine et la même adresse IP pour tous vos sites de sous-domaine (im.something.com, calendar.something.com, addressbook.something.com). C'est quelque chose que vous devez configurer sur votre serveur Web et laisser le logiciel (navigateur Web) gérer la négociation du nom SNI pour vous. De cette façon, vous ne payez rien en frais de licence supplémentaires et vous n'avez pas besoin d'utiliser une adresse IP supplémentaire, etc.

SNI ne convient pas si vous devez prendre en charge des navigateurs plus anciens qui ne prennent pas en charge cette technologie

4
goodguys_activate

Oui et non.

Oui, c'est définitivement possible. Selon l'autorité de certification que vous avez signée pour vous, vous ne pouvez pas être autorisé par contrat à le faire. Certaines autorités de certification veulent plus d'argent pour qu'un certificat générique soit utilisé sur plusieurs appareils physiques. Je ne crois pas qu'il y ait quelque chose de techniquement différent entre le caractère générique à utiliser sur un serveur pour plusieurs noms dans le même domaine et le caractère générique à utiliser sur plusieurs serveurs avec plusieurs noms dans le même domaine. (Veuillez me corriger si je me trompe, je n'en ai jamais acheté qu'un qui peut être utilisé sur plusieurs serveurs)

D'autres autorités de certification n'offrent qu'un seul service générique et peuvent être utilisées sur plusieurs appareils avec plusieurs noms dans le même domaine.

1
Rod MacPherson