我在同一台服务器上有一个网站(面向公众)和一个消息队列(仅限内部)。两者的交通都超过了ssl。有没有理由不使用相同的证书来运行网站和mq?
答案 0 :(得分:1)
证书中使用的DNS名称可能存在限制。您的公共网站使用CN = somedomain.org的证书,但内部MQ可以使用CN = myinternalserver.local的证书。根据CA浏览器论坛公开信任的CA(默认情况下随浏览器一起分发)无法使用此DNS名称颁发证书。
另一个原因是您不希望向全世界展示MQ服务,因此您发布了2个不同的证书。这有另一个好处。如果网站使用的私钥被盗(如果我没记错的话,就像Heartbleed攻击一样)你将不得不撤销并仅为网站制作新的证书(和私钥)。 MQ不受影响,因为它不公开。
但恕我直言,如果您可以正确保护私钥(即存储在HSM中),您可以重复使用相同的证书。