LINUX.ORG.RU
ФорумAdmin

openssl, использование одного rootCA для нескольких серверов

 ,


0

1

Всем доброго времени суток.

Подскажите, есть два сервера с crm. На одном настроены самоподписанные сертификаты, CA.crt импортирован на машины пользователей, все счастливы и довольны. Появился резервный сервер, у него соответственно другой домен, другое имя сервера и прочие вытекающие. Можно ли использовать один CA.crt (понимаю, что придётся заново его создать и добавить всем) для двух серверов?

Как я понимаю в конфиге openssl можно задать несколько DNS, в данный момент там прописаны для одного конкретного сервера, если туда добавить DNS второго сервера, заново сгенерировать CA.crt, а от него уже сделать сертификаты для каждого сервера, то так будет оно работать? Или же придётся настраивать для каждого сервера индивидуально?


CA - это для подписывания сертификатов. Т.е., если на машинах пользователей импортирован CA.crt, то валидными будут все подписанные им сертификаты. Т.е., ты можешь сделать сколько угодно сертификатов с разными CN и SAN.

Если же на машинах пользователей импортирован не CA, а сертификат того конкретного сервера, с которым они работают, то надо будет либо добавить второй, либо заменить существующий. Но это неправильный подход, лучше делать как я написал выше.

Deleted
()
Ответ на: комментарий от Deleted

Собственно, сейчас и импортирован CA. Подскажите, а какую роль в нем играют DNS?

X509v3 extensions:
      X509v3 Subject Alternative Name:
            DNS:s008.[name].lan, DNS:crm.[name].lan

От того, что я таким CA подпишу сертификаты для сервера с другими DNS ничего не случится? Или нужно сгенерировать CA где прописаны DNS для всех серверов? Вопрос у меня встал скорее именно в этом. Просто я нашел где в конфиге это прописывается. Но, не нашел играет ли это какую-то роль.

hanharr
() автор топика
Ответ на: комментарий от hanharr

В самом CA Subject Alternative Name не играют роли, они нужны только в подписанных сертификатах, которые будут устанавливаться на конечный сервер. В CA достаточно таких экстеншенов: 

X509v3 extensions:
    X509v3 Key Usage: critical
        Digital Signature, Certificate Sign, CRL Sign
    X509v3 Basic Constraints: critical
        CA:TRUE
Но если SAN в CA есть, то это не должно повлиять на подписываемый им сертификат.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin