Le déplacement des serveurs et des adresses IP changera. Les certificats SSL doivent-ils être réémis et installés?

29

Nous déplaçons les serveurs vers une autre installation avec différents blocs d'adresses IP. Aurons-nous besoin d'obtenir de nouveaux certificats SSL émis et installés une fois le déménagement effectué?

Si c'est le cas, existe-t-il un moyen de se préparer à cela avant que le serveur ne soit déplacé au lieu d'attendre qu'il démarre pour ensuite passer par le processus de demande à IIS, d'aller au fournisseur de certificats, etc.?

dmr83457
la source

Réponses:

35

La plupart (je pense que TOUS) les certificats SSL sont basés sur un nom de domaine, donc il ne devrait pas être nécessaire d'obtenir un nouveau certificat tant que le nom d'hôte du serveur sera le même après le déménagement.

Cependant, cela nécessitera un changement DNS, synchronisé avec le déménagement.

Vatine
la source
21

Non, SSL est lié au nom de domaine et non à l'adresse IP publique. Cependant, pour votre préparation, vous devez définir votre TTL DNS de manière à ce que la propagation soit rapide.

Le seul conflit entre SSL et IP est lorsque vous travaillez avec plusieurs certificats SSL sur une seule boîte IIS.

6 ans plus tard, je voulais ajouter un montage rapide à celui-ci. Je sais que la question n'était pas d'attribuer un certificat SSL à une IP, mais c'est possible.

"" Un certificat SSL est généralement délivré à un nom de domaine complet (FQDN) tel que " https://www.domain.com ". Cependant, certaines organisations ont besoin d'un certificat SSL délivré à une adresse IP publique. Cette option vous permet de spécifier une adresse IP publique comme nom commun dans votre demande de signature de certificat (CSR). Le certificat émis peut ensuite être utilisé pour sécuriser les connexions directement avec l'adresse IP publique (par exemple, https://123.456.78.99 .). ""

DanBig
la source
2
Je n'ai pas choisi votre réponse comme LA réponse mais j'apprécie les conseils supplémentaires sur TTL.
dmr83457
donc si l'ip change et que j'ai un certificat lié à l'ip, je peux toujours utiliser le certificat?
user3123159
4

Les certificats SSL sont liés à une seule adresse IP dans la mesure où vous ne pouvez avoir qu'un seul certificat lié à une adresse IP donnée. Les certificats eux-mêmes devraient correspondre au nom commun (CN), qui est généralement le nom d'hôte entré dans DNS et configuré pour le service (IMAP, HTTPS, SMTP, etc.).

Cela dit, le déplacement des serveurs et la modification de l'adresse IP ne sont pas un problème tant que vous prenez les mesures nécessaires pour mettre à jour le DNS pour l'entrée de nom d'hôte respective pour pointer vers la nouvelle adresse IP. Comme mentionné, vous pouvez limiter le temps potentiel en abaissant le TTL afin que le changement se propage rapidement, vous pouvez également modifier l'adresse IP DNS avant de déplacer réellement le serveur afin que la mise à jour entre en vigueur avant le changement et en réduisant ainsi l'éventuelle inaccessibilité.

Jeremy Bouse
la source
Pouvez-vous clarifier ce que vous entendez par "vous pouvez également modifier l'adresse IP DNS avant de déplacer le serveur"? Si j'ai un site Web https://www.hello.comhébergé sur un serveur au 12.34.56.78 et que je souhaite le déplacer vers un nouveau serveur au 90.12.34.56, pourquoi devrais-je mettre à jour l'enregistrement DNS pour www.hello.compointer vers 90.12.34.56 avant d'avoir terminé la migration de l'application et des données vers le nouveau serveur?
mpavey
Près de 10 ans après la réponse d'origine ... Je suppose qu'il voulait dire que vous pouviez configurer une redirection temporaire sur la nouvelle adresse IP jusqu'à ce que le déménagement soit terminé.
aanders77
1
@mpavey Je pense qu'il supposait que le serveur devait être déplacé physiquement, pas le contenu copié de l'ancien serveur vers le nouveau serveur. En définissant le DNS sur la nouvelle adresse IP lorsque vous quittez l'ancienne salle de serveurs, il aura eu le temps de se propager au moment où vous mettez le serveur sous tension dans la nouvelle salle de serveurs, minimisant ainsi les temps d'arrêt.
Kidquick