最近我们用 tomcat 创建了一个服务器,我们还为这个小服务器添加了 SSL 支持。对于 SSL 支持,我们需要由 Entrust、Thawte 等第三方颁发的证书。
一位同事对我说,证书绑定到特定的机器。那就是一旦我们获得了颁发的证书,那么这个证书就不能在另一台机器上使用。
我完全怀疑这一点,因为 CSR 不包含机器的任何信息。真的吗?
谢谢
问问题
10596 次
1 回答
11
证书不一定绑定到特定机器。为了能够在机器上“使用证书”,您需要两件事:证书本身和它的私钥。您应该已经生成了私钥以及 CSR(取决于您使用的工具)。
某些系统不允许您重新提取私钥(例如,Windows 可以选择以您无法再导出的方式导入私钥,但据我了解,如果您有足够的该机器上的访问权限)。在您使用智能卡或硬件令牌的情况下,可能会以无法提取的方式生成私钥(在这种情况下,如有必要,将令牌移至新机器是有意义的) .
另一部分是证书及其名称。证书中的主机名(通常也可以在 CSR 中找到,尽管这最终不是必需的)应该是这台机器的主机名,正如尝试连接到它的客户端所看到的那样(参见RFC 2818 第 3.1 节,详细了解 HTTPS 的主机名验证)。因此,虽然证书本身在硬件方面并未绑定到特定机器,但它将绑定到此主机名(例如,这允许您更改此机器的硬件或其 IP 地址)。
于 2013-03-01T10:28:55.520 回答