Перемещение серверов и IP-адресов изменится. Нужно ли повторно выдавать и устанавливать сертификаты SSL?
29
Мы перемещаем серверы в другое учреждение с другим блоком IP-адресов. Нужно ли нам выдавать и устанавливать новые SSL-сертификаты после того, как это произойдет?
Если да, есть ли способ подготовиться к этому до того, как сервер будет перемещен, вместо того, чтобы ждать, пока он загрузится, а затем пройти через процесс запроса из IIS, обратиться к поставщику сертификата и т. Д.?
Большинство (я думаю, ВСЕ) SSL-сертификатов основаны на доменных именах, поэтому не нужно получать новый сертификат, если имя хоста сервера будет таким же после перемещения.
Однако для этого потребуется изменение DNS, приуроченное к переезду.
Нет, SSL привязан к имени домена, а не к общему IP-адресу. Тем не менее, для подготовки вы должны установить низкое значение TTL DNS, чтобы распространение было быстрым.
Единственный раз, когда конфликт SSL и IP происходит, когда вы работаете с несколькими сертификатами SSL в одном окне IIS.
6 лет спустя я хотел добавить быстрое редактирование к этому. Я знаю, что вопрос не в том, чтобы назначить сертификат SSL для IP, но это возможно.
«Сертификат SSL обычно выдается на полное доменное имя (FQDN), такое как« https://www.domain.com ». Однако некоторым организациям требуется сертификат SSL, выданный на общедоступный IP-адрес. Эта опция позволяет вам указать публичный IP-адрес в качестве общего имени в вашем запросе на подпись сертификата (CSR). Выданный сертификат может затем использоваться для защиты соединений напрямую с общедоступным IP-адресом (например, https://123.456.78.99 .). ""
Я не выбрал ваш ответ в качестве ответа, но я ценю дополнительные советы по TTL.
dmr83457
так, если ip изменяется, и у меня есть сертификат, связанный с ip, я все еще могу использовать сертификат?
user3123159
4
Сертификаты SSL привязаны к одному IP-адресу, поскольку к одному IP-адресу можно привязать только один сертификат. Ожидается, что сами сертификаты будут соответствовать общему имени (CN), которое обычно является именем хоста, введенным в DNS и настроенным для службы (IMAP, HTTPS, SMTP и т. Д.).
При этом перемещение серверов и изменение IP-адреса не является проблемой, если вы предпримите необходимые шаги для обновления DNS для соответствующей записи имени хоста, чтобы указать новый IP-адрес. Как уже упоминалось, вы можете ограничить потенциальное время, уменьшив TTL, чтобы изменение быстро распространялось, вы также можете изменить IP-адрес DNS до фактического перемещения сервера, чтобы обновление вступило в силу до изменения и, таким образом, снизило возможную недоступность.
Можете ли вы уточнить, что вы подразумеваете под «вы также можете изменить IP-адрес DNS перед фактическим перемещением сервера»? Если у меня есть веб-сайт, https://www.hello.comразмещенный на сервере по адресу 12.34.56.78, и я хочу переместить его на новый сервер по адресу 90.12.34.56, зачем мне обновлять запись DNS, www.hello.comчтобы она указала на 90.12.34.56, прежде чем завершить миграцию приложения и данных в новый сервер?
mpavey
Спустя почти 10 лет после первоначального ответа ... Я думаю, он имел в виду, что вы можете настроить временное перенаправление на новый ip, пока движение не будет сделано.
aanders77
1
@mpavey Я думаю, он предполагал, что сервер должен был быть физически перемещен, а не скопировано с старого сервера на новый. Установив DNS на новый IP при выходе из старой серверной комнаты, он успеет распространиться к тому времени, как вы включите сервер в новой серверной комнате, тем самым минимизируя время простоя.
Сертификаты SSL привязаны к одному IP-адресу, поскольку к одному IP-адресу можно привязать только один сертификат. Ожидается, что сами сертификаты будут соответствовать общему имени (CN), которое обычно является именем хоста, введенным в DNS и настроенным для службы (IMAP, HTTPS, SMTP и т. Д.).
При этом перемещение серверов и изменение IP-адреса не является проблемой, если вы предпримите необходимые шаги для обновления DNS для соответствующей записи имени хоста, чтобы указать новый IP-адрес. Как уже упоминалось, вы можете ограничить потенциальное время, уменьшив TTL, чтобы изменение быстро распространялось, вы также можете изменить IP-адрес DNS до фактического перемещения сервера, чтобы обновление вступило в силу до изменения и, таким образом, снизило возможную недоступность.
источник
https://www.hello.com
размещенный на сервере по адресу 12.34.56.78, и я хочу переместить его на новый сервер по адресу 90.12.34.56, зачем мне обновлять запись DNS,www.hello.com
чтобы она указала на 90.12.34.56, прежде чем завершить миграцию приложения и данных в новый сервер?