最近我们用tomcat创建了一个服务器,我们还为这个小服务器添加了SSL支持。对于SSL支持,我们需要由Entrust,Thawte等第三发行人颁发的证书
一位同事对我说,证书绑定到特定的机器。这是我们获得颁发的证书后,此证书不能在另一台机器上使用。
我完全怀疑这一点,因为CSR不包含机器的任何信息。这是真的吗?
由于
答案 0 :(得分:10)
证书不一定绑定到特定计算机。为了能够在计算机上“使用证书”,您需要两件事:证书本身及其私钥。您应该已经生成私钥和CSR(取决于您使用的工具)。
某些系统不允许您重新提取私钥(例如,Windows可以选择以不再导出私钥的方式导入私钥,但据我所知,如果可以绕过,则可以绕过该密钥。您在该计算机上拥有足够的访问权限)。在您使用智能卡或硬件令牌的情况下,可能会以无法提取私钥的方式生成私钥(在这种情况下,如果需要,将令牌移动到新计算机会有意义)
另一部分是证书及其名称。证书中的主机名(通常也在CSR中找到,尽管最终没有必要)应该是该机器的主机名,正如尝试连接它的客户端所看到的那样(参见RFC 2818第3.1节,详细介绍了HTTPS的主机名验证。因此,尽管证书本身在硬件方面与特定计算机无关,但它将与此主机名相关联(例如,它允许您更改此计算机的硬件或其IP地址)。