Apache SSL - 1 domain, meerdere servers? - Serversoftware en clouddiensten

dinsdag 9 november 2004 14:44

Acties:

General Failure

Topicstarter

Misschien niet zuiver PNS, maar onder andere kopjes past hij ook niet echt.
De situatie:

Hier draait momenteel een website met SSL op een Cobalt systeem.
Het certificaat is geldig en alles werkt naar behoren.

Nu word deze machine vervangen door een RedHat AS systeem.
Deze draait nu in testopstelling en zal niet te overhaast in gebruik worden genomen.
Uiteraard dient SSL hier ook op geactiveerd te worden.

Nou is mijn vraag:
Per FQDN heb je 1 Secure server ID nodig, zo is de situatie nu ook.
Het certificaat kan vervangen worden (certificaat request aanmaken op nieuwe machine) maar dan vervalt gelijk het oude certificaat.

Is er geen optie om de 2 servers (met verschillende configuratie maar identieke FQDN) allebei een geldig certificaat te laten gebruiken?
In server farms zal dit toch ook gangbaar zijn, alhoewel ik met identieke servers het certificaat ook meerdere malen zou kunnen gebruiken.

In de aanvraagprocedures vind ik alleen opnieuw aanvragen (gaat neem ik aan niet aangezien certificaat reeds bestaat voor die FQDN) op vervangen (ook geen optie dus)

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

woensdag 10 november 2004 14:08

Acties:

Verwijderd

hoe het in apache zit weet ik niet. maar in iis (win2k/2k3) kan je een certificaat exporteren (zonder het certificaat te verwijderen) en op een andere server weer importeren.
edit: misschien ten overvloede, maar dit is dus niet hetzelfde als de .cer file 2 keer te gebruiken. je maakt namelijk op de 2de server geen request file aan..

[ Voor 33% gewijzigd door Verwijderd op 10-11-2004 14:21 ]

donderdag 11 november 2004 23:14

Acties:

real-doc

Een certificaat wordt geenszins aan je machine 'gelocked'.

Dwz, als je je cerfiticate en je private key kopieert, moet alles als een zonnetje werken.

[ Voor 5% gewijzigd door real-doc op 11-11-2004 23:15 ]

donderdag 11 november 2004 23:27

Acties:

BlaTieBla

Vloeken En Raak Schieten

Het kan op 2 manieren:

1) je exporteer het certificaat inclusief private key en importeer die op de andere server. Werkt perfect en geen enkel probleem. Hoe dit gedaan moet worden staat vaak in de handleidingen uitgelegd.

2) je vraagt voor beide servers een eigen certificaat aan. Je maakt bij die aanvraag onderscheidt tussen de certificaten door bij het department / office veld een andere waarde in te vullen (bijvoorbeeld de interne server naam).
Een certificaat moet een unieke distinguished name hebben. Deze is opgebouwd uit de common name, organisatie, department en de uitgevende CA. Als de certificaten van dezelfde CA afkomen en de common name (FQDN) dan moet je onderscheid gaan maken in de O en OU. O is binnen nederland vastgelegd volgens de KvK en dan blijft een OU over om mee te varieren.

Het voordeel van optie 1 is dat je met 1 certificaat (qua kosten) meerdere servers kan bedienen. Het voordeel van de 2e optie is dat je in geval van problemen (aan de client zijde) eenvoudig kan achterhalen met welke server gecommuniceerd wordt. Dit kan je namelijk in het subject veld van het certificaat zien. Hier staat nml. dat department veld genoemd.

Voor ons hollanders is de goedkope oplossing vaak de beste. Echter weet ik uit ervaring dat optie 2 veel problemen kan voorkomen. Een dag foutzoeken kost al snel meer dan een extra certificaat.

Let wel, bovenstaande is met name van toepassing als je officiele certificaten koopt van Verisign, Thawte, Comodo, etc. en niet bij self signed certs

leica - zeiss - fuji - apple | PSN = Sh4m1n0

zaterdag 13 november 2004 14:18

Acties:

usr-local-dick

wat maakt dat nou uit wat voor machine het is, je hebt alleen die twee keys nodig.
die kan je gewoon kopieeren.