Frage Bewegliche Server und IPs ändern sich. Müssen SSL-Zertifikate neu ausgestellt und installiert werden?


Wir verschieben Server in eine andere Einrichtung mit unterschiedlichen IP-Adressen. Müssen wir neue SSL-Zertifikate erhalten und installiert werden, sobald der Umzug stattgefunden hat?

Wenn ja, gibt es eine Möglichkeit, sich darauf vorzubereiten, bevor der Server verschoben wird, anstatt darauf zu warten, dass er hochfährt, um dann den Prozess des Anforderns von IIS, des Zertifikatsanbieters usw. zu durchlaufen?


26
2017-11-05 14:08


Ursprung




Antworten:


Die meisten (ich glaube ALLE) SSL-Zertifikate sind Domain-Namen-basiert, daher sollte kein neues Zertifikat benötigt werden, solange der Hostname des Servers nach dem Verschieben derselbe ist.

Es wird jedoch eine DNS-Änderung benötigt, die mit dem Verschieben zeitlich abgestimmt ist.


33
2017-11-05 14:14





Nein, SSL ist an den Domänennamen gebunden, nicht an die öffentliche IP-Adresse. Für Ihre Vorbereitung sollten Sie jedoch Ihre DNS-TTL auf niedrig einstellen, damit die Verbreitung schnell erfolgt.

Das einzige Mal, wenn SSL und IP-Konflikt auftreten, wenn Sie mit mehreren SSL-Zertifikaten in einer einzelnen IIS-Box arbeiten.

6 Jahre später wollte ich eine schnelle Bearbeitung hinzufügen. Ich weiß, dass es nicht darum ging, einer IP ein SSL-Zertifikat zuzuweisen, aber das ist möglich.

Ein SSL-Zertifikat wird typischerweise an einen voll qualifizierten Domänennamen (FQDN) ausgegeben, wie z.https://www.domain.comEinige Organisationen benötigen jedoch ein SSL-Zertifikat für eine öffentliche IP-Adresse. Mit dieser Option können Sie eine öffentliche IP-Adresse als Common Name in Ihrer Zertifikatsignierungsanforderung (Certificate Signing Request, CSR) angeben. Das ausgestellte Zertifikat kann dann zum Sichern von Verbindungen verwendet werden direkt mit der öffentlichen IP-Adresse (z. B. https://123.456.78.99.). ""


21
2017-11-05 15:27



Ich habe Ihre Antwort nicht als Antwort gewählt, aber ich schätze den zusätzlichen Rat zu TTL. - dmr83457
also, wenn die ip ändert und ich ein cert an die ip gebunden habe, kann ich immer noch das cert verwenden? - user3123159


SSL-Zertifikate sind insofern an eine einzige IP-Adresse gebunden, als nur ein Zertifikat an eine bestimmte IP-Adresse gebunden werden kann. Es wird erwartet, dass die Zertifikate selbst dem allgemeinen Namen (Common Name, CN) entsprechen, bei dem es sich normalerweise um den Hostnamen handelt, der in DNS eingegeben und für den Dienst konfiguriert wurde (IMAP, HTTPS, SMTP usw.).

Das Verschieben von Servern und das Ändern der IP-Adresse ist jedoch kein Problem, solange Sie die erforderlichen Schritte zum Aktualisieren des DNS für den entsprechenden Hostnameneintrag ausführen, um auf die neue IP-Adresse zu verweisen. Wie bereits erwähnt, können Sie die potentielle Zeit begrenzen, indem Sie die TTL so reduzieren, dass sich die Änderung schnell ausbreitet. Sie können auch die DNS-IP-Adresse ändern, bevor Sie den Server verschieben, sodass die Aktualisierung vor der Änderung wirksam wird und somit die mögliche Unerreichbarkeit verringert wird.


4
2017-11-05 16:20



Können Sie klarstellen, was Sie damit meinen, dass "Sie auch die DNS-IP-Adresse ändern können, bevor Sie den Server tatsächlich verschieben"? Wenn ich eine Website habe https://www.hello.com gehostet auf einem Server um 12.34.56.78 und möchte es auf einen neuen Server um 90.12.34.56 verschieben, warum würde ich den DNS-Eintrag für aktualisieren www.hello.com um auf 90.12.34.56 zu zeigen, bevor die Anwendung und die Daten auf den neuen Server migriert wurden? - mpavey