我工作技术。 支持在网页devise公司。 我们以前的许多客户都是由另一家公司(“X公司”)托pipe的,但是他们通过我们更新了他们的SSL证书。 我们从GeoTrust销售QuickSSL。 我们在.NET中开发,因此所有托pipe都是IIS。
自从我们开始(然后停止)推荐他们以来,X公司已经走下坡路了,现在要更新SSL证书是一件痛苦的事情。 一段时间,他们向我们收取了50美元/续约时间(出口CSR,安装CER)。 他们经常把网站转移到新的服务器上,并说SSL不能与它一起转移(偶尔也会尝试销售自己的SSL)。 我们不能向客户解释为什么我们不能重新发送新服务器上使用的证书(我们只有CSR和CER)。
因此,我想在我们的内部IIS服务器上从头到尾订购这些SSL证书,然后导出一个PFX并将其发送到X公司。如果它们丢失了,我们在我们的一端上有一个副本,出错。
我找不到其他人。 这是一个坏主意,或只是一个绝望的? 是否有我缺less的技术限制(如IIS6到IIS7)? 如果你的SSL供应商这样做,你会被推迟? 我不能确定这是一个坏主意还是一个明显的主意。
感谢SF!
我找不到其他人。 这是一个坏主意,或只是一个绝望的?
我不认为这是一个完全不好的主意,如果你有系统来保护你的钥匙,以防止被入侵。 当我知道我的客户不能创build密钥时,我已经为我的客户做了几次这样的事情,而且我不相信networking主机不会丢失密钥。
我不认为我会把别人的钥匙放在可公开访问的IIS框上。 我build议你在防火墙后面的机器上为你的客户创build密钥,并且非常安全。
如果你的SSL供应商这样做,你会被推迟?
我会因此而拖延一下,但是我知道如何创build自己的证书,而且我不把我的密钥+证书给一些托pipe服务。
我认为如果:
他们已经相信'X公司'有他们的钥匙+证书和他们的服务器,所以他们一定不需要一个非常高的安全设置。
知道私钥是多么的敏感,我会稍微拖延一下,发现我的SSL提供者做到了这一点。 但是,只要在转移到主机和备份的时候注意保护私钥,没有技术上的理由不能安全地做到这一点。