Das Verschieben von Servern und IPs wird sich ändern. Müssen SSL-Zertifikate neu ausgestellt und installiert werden?

29

Wir verschieben Server in eine andere Einrichtung mit einem anderen Block von IP-Adressen. Müssen wir nach dem Umzug neue SSL-Zertifikate ausstellen und installieren lassen?

Wenn ja, gibt es eine Möglichkeit, sich darauf vorzubereiten, bevor der Server verschoben wird, anstatt darauf zu warten, dass er hochgefahren wird, um dann den Prozess des Anforderns von IIS, des Wechselns zum Zertifikatsanbieter usw. zu durchlaufen?

dmr83457
quelle

Antworten:

35

Die meisten (meiner Meinung nach ALLE) SSL-Zertifikate basieren auf Domänennamen, daher sollte es nicht erforderlich sein, ein neues Zertifikat zu erhalten, solange der Hostname des Servers nach dem Umzug derselbe ist.

Es ist jedoch eine DNS-Änderung erforderlich, die zeitlich mit dem Umzug festgelegt ist.

Vatine
quelle
21

Nein, SSL ist an den Domainnamen gebunden, nicht an die öffentliche IP-Adresse. Für Ihre Vorbereitung sollten Sie jedoch die DNS-TTL auf niedrig einstellen, damit die Weitergabe schnell erfolgt.

Der einzige Konflikt zwischen SSL und IP tritt auf, wenn Sie mit mehreren SSL-Zertifikaten auf einer einzelnen IIS-Box arbeiten.

6 Jahre später wollte ich diesem eine schnelle Bearbeitung hinzufügen. Ich weiß, dass es nicht darum ging, einer IP ein SSL-Zertifikat zuzuweisen, aber das ist möglich.

"" Ein SSL-Zertifikat wird normalerweise für einen vollqualifizierten Domainnamen (FQDN) wie " https://www.domain.com " ausgestellt. Einige Organisationen benötigen jedoch ein SSL-Zertifikat, das für eine öffentliche IP-Adresse ausgestellt wurde. Mit dieser Option können Sie eine öffentliche IP-Adresse als Common Name in Ihrer Certificate Signing Request (CSR) angeben. Das ausgestellte Zertifikat kann dann verwendet werden, um Verbindungen direkt mit der öffentlichen IP-Adresse zu sichern (z . B. https://123.456.78.99 .).

DanBig
quelle
2
Ich habe Ihre Antwort nicht als DIE Antwort gewählt, aber ich schätze die zusätzlichen Hinweise zu TTL.
dmr83457
Wenn sich die IP ändert und ich ein Zertifikat an die IP gebunden habe, kann ich das Zertifikat trotzdem verwenden?
user3123159
4

SSL-Zertifikate sind an eine einzelne IP-Adresse gebunden, sofern Sie nur ein Zertifikat an eine bestimmte IP-Adresse binden können. Von den Zertifikaten selbst wird erwartet, dass sie mit dem Common Name (CN) übereinstimmen. Dies ist normalerweise der in DNS eingegebene und für den Dienst konfigurierte Hostname (IMAP, HTTPS, SMTP usw.).

Das Verschieben von Servern und Ändern der IP-Adresse ist jedoch kein Problem, solange Sie die erforderlichen Schritte ausführen, um den DNS für den jeweiligen Hostnameneintrag so zu aktualisieren, dass er auf die neue IP-Adresse verweist. Wie bereits erwähnt, können Sie die potenzielle Zeit begrenzen, indem Sie die TTL verringern, damit sich die Änderung schnell verbreitet. Sie können auch die DNS-IP-Adresse ändern, bevor Sie den Server tatsächlich verschieben, damit die Aktualisierung vor der Änderung wirksam wird und die mögliche Nichterreichbarkeit verringert wird.

Jeremy Bouse
quelle
Können Sie klarstellen, was Sie unter "Sie können die DNS-IP-Adresse auch ändern, bevor Sie den Server tatsächlich verschieben" verstehen? Wenn eine Website https://www.hello.comauf einem Server um 12.34.56.78 gehostet ist und um 90.12.34.56 auf einen neuen Server verschoben werden soll, warum sollte ich den DNS-Eintrag aktualisieren www.hello.com, um auf 90.12.34.56 zu verweisen, bevor die Migration der Anwendung und der Daten zu abgeschlossen ist? der neue Server?
Mpavey
Fast 10 Jahre nach der ursprünglichen Antwort ... Ich denke, er meinte, dass Sie eine temporäre Umleitung auf die neue IP einrichten könnten, bis der Umzug abgeschlossen ist.
aanders77
1
@mpavey Ich denke, er ging davon aus, dass der Server physisch verlagert werden sollte, nicht Inhalte, die vom alten Server auf den neuen Server kopiert wurden. Indem Sie den DNS auf die neue IP-Adresse setzen, wenn Sie den alten Serverraum verlassen, hat er Zeit, sich zu verbreiten, wenn Sie den Server im neuen Serverraum einschalten, wodurch die Ausfallzeit minimiert wird.
Kidquick