对不起,如果这是一个真正的新问题,但是对两个不同的守护进程使用相同的SSL证书是否可行? 我有VSFTPD运行,我想安装与FTPS运行。 我已经有一个SSL证书,我用它来保护phpmyadmin通过Apache,并想知道如果我可以只使用相同的证书(我假设该域将必须是相同的)。
任何想法在此赞赏。
非常感谢,
詹姆士。
是的,可以在两个服务在不同的端口上收听时完成。
我不熟悉用VSFTPD或Apache这样做的具体细节,虽然对不起。
你只需要确保VSFTPD和Apache都使用相同的私钥以及证书本身(以及潜在的中间根证书来与你的SSL证书一起玩 – 如果你不需要为apache安装一个证书,你也不需要为VSFTPD)。 是的,域名必须相同才能避免任何证书错误。
x.509证书是以域名的forms发放的,所以无论监听特定域名的服务是否使用SSL / TSLencryption,都应该使用为该域名颁发的x.509证书。
我会说这是超越良好的做法,不这样做将是不好的做法。 尽pipe您可能要考虑在单独的子域(如ftp.domain.example,imap.domain.examle)上传播您的服务,然后为其中的每个域使用不同的证书。
一些pipe理员喜欢保持简单,因此使用所有这些子域的通配符证书,从encryption的angular度来看,我会build议使用这个通配符证书(如果能够获得私钥)也会使所有其他服务变得脆弱。
这种方法的问题是:
1)FTPd和HTTPd必须在同一个域上运行(这意味着如果在防火墙级别上没有使用端口redirect,则IP地址相同)。 或者您可以指定ssl证书的备用名称,如ftp.domain.com,domain.com http://www.domain.com等。
2)FTPd / HTTPd可以解密对方的数据。 所以,如果攻击者会损害FTPd,就会危及HTTPd的安全,反之亦然。