Переміщення серверів та IP-адрес зміниться. Потрібно повторно видавати та встановлювати сертифікати SSL?

29

Ми переміщуємо сервери до іншого об'єкта з різним блоком IP-адрес. Чи буде нам потрібно отримати нові SSL сертифікати, видані та встановлені після того, як переміщення відбудеться?

Якщо так, чи є якийсь спосіб підготуватися до цього, перш ніж сервер переміщується, а не чекати, коли він завантажиться, а потім пройти процес запиту від IIS, перейти до постачальника сертифікатів тощо?

ssl-certificate

— dmr83457
джерело

35

Більшість (я думаю, ВСІ) сертифікати SSL засновані на доменних іменах, тому не потрібно мати новий сертифікат до тих пір, поки ім'я хоста сервера буде однаковим після переміщення.

Однак для цього буде потрібна зміна DNS, приурочена до переміщення.

— Ватин
джерело

21

Ні, SSL прив’язаний до доменного імені, а не до публічної IP-адреси. Для попередньої підготовки слід встановити, що рівень TTL DNS має бути низьким, щоб швидше розповсюдження.

Єдине зіткнення SSL та IP - це коли ви працюєте з декількома сертифікатами SSL над одним вікном IIS.

Через 6 років я хотів швидко додати цю редакцію до цієї. Я знаю, питання полягало не в призначенні SSL-серту в IP, але це можливо.

"" Сертифікат SSL зазвичай видається повністю кваліфікованому доменному імені (FQDN), наприклад " https://www.domain.com ". Однак деяким організаціям потрібен сертифікат SSL, виданий на загальнодоступну IP-адресу. Цей параметр дозволяє вказати загальнодоступну IP-адресу як загальну назву у Вашому запиті на підпис сертифіката (CSR). Потім виданий сертифікат може бути використаний для захисту з'єднань безпосередньо із загальнодоступною IP-адресою (наприклад, https://123.456.78.99 . ""

— DanBig
джерело

2

Я не вибрав вашу відповідь як відповідь, але вдячний за додаткову пораду щодо TTL.

— dmr83457

Так що якщо ip зміниться, і у мене є cert, пов'язаний з ip, я все ще можу використовувати cert?

— користувач3123159

4

Сертифікати SSL прив’язані до однієї IP-адреси в тій мірі, в якій ви можете мати лише один сертифікат, прив'язаний до певної IP-адреси. Очікується, що самі сертифікати відповідатимуть загальному імені (CN), яке зазвичай є ім'ям хоста, введеним у DNS та налаштованим для служби (IMAP, HTTPS, SMTP тощо).

Це означає, що переміщення серверів та зміна IP-адреси не є проблемою, якщо ви вживаєте необхідних заходів для оновлення DNS для відповідної записи імені хоста, щоб вказати на нову IP-адресу. Як уже згадувалося, ви можете обмежити потенційний час, знизивши TTL, щоб зміна поширювалася швидко, ви також можете змінити IP-адресу DNS перед фактичним переміщенням сервера, так що оновлення буде впливати перед зміною і тим самим знизити можливу недосяжність.

— Джеремі Бууз
джерело

Чи можете ви уточнити, що ви маєте на увазі під "ви можете також змінити IP-адресу DNS перед тим, як фактично перемістити сервер"? Якщо у мене https://www.hello.comрозміщений веб-сайт на сервері о 12.34.56.78 і я хочу перенести його на новий сервер за номером 90.12.34.56, чому я б оновив запис DNS для того, www.hello.comщоб він вказував на 90.12.34.56, перш ніж закінчити міграцію програми та даних на новий сервер?

— mpavey

Майже через 10 років після оригінальної відповіді ... Я думаю, він мав на увазі, що ви можете встановити тимчасове перенаправлення на новий ip, поки не буде зроблено переміщення.

— aanders77

1

@mpavey Я думаю, що він припускав, що сервер повинен бути фізично переселений, а не вміст, скопійований зі старого сервера на новий сервер. Встановивши DNS на новий IP, коли ви виходите зі старої серверної кімнати, він встиг поширитись до моменту включення сервера в новій серверній кімнаті, тим самим скоротивши час простою.

— Kidquick