我正在更新通配符SSL证书。 最简单的select是使用我现有的私钥并使用它生成新的CSR。 是否有任何理由(假设我的私钥没有被泄露)来增加额外的成本并生成一个新的私钥?
如果您的密钥足够强大,可以满足要使用的CA的安全性要求,则没有强大的encryption原因来重新生成密钥。 另一方面,创buildCSR时生成新密钥只需要一分钟,如果旧密钥被泄露,定期循环旧密钥被认为是一种好的做法。
如果您经常更换密钥,那么在Debian 破解OpenSSL时等恶意事件的影响就会降低。 在高度安全的环境中,您可以在可靠的系统上生成密钥,并可以访问高质量的随机源,但是大多数人不会打扰。
如果您必须将私钥部署到不可信/部分可信的环境中,最好每次都创build一个新的私钥。 使用多个私钥而不是通配符证书来最小化关键折衷的风险,因此只有一个服务安全性受到损害,而不是一切。