最近、Tomcat を使用してサーバーを作成し、この小さなサーバーに SSL サポートも追加しました。SSL をサポートするには、Entrust、Thawte などの第 3 の発行者によって発行された証明書が必要です。
同僚は、証明書が特定のマシンにバインドされていると私に言いました。発行された証明書を取得したら、この証明書を別のマシンで使用することはできません。
CSRにはマシンの情報が含まれていないため、これを完全に疑っています。本当?
ありがとう
10596 次
1 に答える
11
証明書は必ずしも特定のマシンにバインドされているわけではありません。マシンで「証明書を使用」できるようにするには、証明書自体とその秘密鍵の2つが必要です。CSRとともに秘密鍵を生成する必要があります(使用したツールによって異なります)。
一部のシステムでは、秘密鍵を再抽出できません(たとえば、Windowsには、秘密鍵をエクスポートできない方法でインポートするオプションがありますが、私が理解している限り、十分な数がある場合は、これをバイパスできます。そのマシンのアクセス権)。スマートカードまたはハードウェアトークンを使用している場合、秘密鍵は抽出できないように生成される可能性があります(この場合、トークンを新しいマシンに移動することは、必要に応じて意味があります)。 。
他の部分は証明書とその名前です。証明書内のホスト名(CSRにもよく見られますが、最終的には必要ありません)は、接続しようとしているクライアントから見た、このマシンのホスト名である必要があります(を参照)。 HTTPSのホスト名検証の詳細については、RFC 2818セクション3.1を参照してください)。そのため、証明書自体はハードウェアの観点から特定のマシンに関連付けられていませんが、このホスト名に関連付けられます(これにより、このマシンのハードウェアやそのIPアドレスを変更できます)。
于 2013-03-01T10:28:55.520 に答える