提供时,我必须使用.pfx或.cer来导入Windows Server(2008 R2)上的IIS以获取SSL证书以供使用。
我的问题是,我是否应该在成功将证书导入到证书存储区后删除这些文件? 我以为我被告知这很重要,因为你不希望任何人获得这些文件,并能够使用证书或恶意导入。 我知道,如果我需要传输证书,我总是可以有权导出证书,但是想知道一旦导入后,我应该从服务器上删除这些文件吗?
一个SSL证书有两个部分; 一个公钥和一个私钥。
.CER文件不包含任何秘密。 这是Web服务器发送给连接到启用SSL的站点的每个客户端的公钥。 从安全的angular度来看,没有理由将其删除。 事实上,如果服务器死了,您可能希望备份它,并且需要在更换它时重新使用它。
但是,.CER文件没有其匹配的私钥是没有用的。 Windows创build证书申请时会自动生成一个私钥。 您的.PFX文件肯定包含.CER的副本。 但它可能包含或不包含私钥的副本。 这完全取决于谁生成它以及如何生成它。
如果PFX文件包含私钥,那么是的。 把那个坏男孩锁在场外,并从服务器上删除副本。 有人用这个文件可能会用它来冒充你的网站。
如果PFX文件不包含私钥,那么它就比原始CER文件更有用。 如果可能的话,您可能需要导出一个新的包含用于DR /备份(假设证书允许私钥导出)的私钥的PFX文件。
一个想法是将它们备份到一个USB拇指驱动器,并把它们放在一个安全的。
诚然,如果证书包含私钥,那么你不想让它落入坏人之手。 将证书导入商店后,无需保留PFX或CER文件。 但是,在某个地方备份证书是个好主意,以防需要重build服务器或网站。