Mover servidores e IPs mudará. Os certificados SSL precisam ser reemitidos e instalados?

29

Estamos movendo servidores para outra instalação com diferentes blocos de endereços IP. Precisamos obter novos certificados SSL emitidos e instalados após a mudança?

Em caso afirmativo, existe alguma maneira de se preparar para isso antes que o servidor seja movido, em vez de esperar que ele seja inicializado e depois passar pelo processo de solicitação do IIS, do fornecedor de certificados, etc.?

dmr83457
fonte

Respostas:

35

A maioria dos certificados SSL (acho que TODOS) são baseados em nomes de domínio, portanto, não será necessário obter um novo certificado, desde que o nome do host do servidor seja o mesmo após a mudança.

No entanto, será necessária uma alteração no DNS, programada com a mudança.

Vatine
fonte
21

Não, o SSL está vinculado ao nome do domínio, não ao endereço IP público. Para sua preparação, você deve definir o DNS TTL como baixo, para que a propagação seja rápida.

A única vez que o conflito entre SSL e IP é quando você está trabalhando com vários certificados SSL em uma única caixa do IIS.

Seis anos depois, eu queria adicionar uma edição rápida a esta. Eu sei que a pergunta não era sobre a atribuição de um certificado SSL a um IP, mas isso é possível.

"" Um certificado SSL é normalmente emitido para um FQDN (nome de domínio totalmente qualificado), como " https://www.domain.com ". No entanto, algumas organizações precisam de um certificado SSL emitido para um endereço IP público. Esta opção permite que você especifique um endereço IP público como o Nome comum em sua solicitação de assinatura de certificado (CSR). O certificado emitido pode ser usado para proteger conexões diretamente com o endereço IP público (por exemplo, https://123.456.78.99 .). ""

DanBig
fonte
2
Não escolhi sua resposta como A resposta, mas agradeço os conselhos extras sobre TTL.
Dmr83457
então, se o ip mudar e eu tiver um certificado vinculado ao ip, ainda posso usar o cert?
user3123159
4

Os certificados SSL estão vinculados a um único endereço IP, na medida em que você pode ter apenas um certificado vinculado a um determinado endereço IP. Espera-se que os próprios certificados correspondam ao Nome Comum (CN), que normalmente é o nome do host inserido no DNS e configurado para o serviço (IMAP, HTTPS, SMTP, etc.).

Dito isto, mover os servidores e alterar o endereço IP não é um problema, desde que você execute as etapas necessárias para atualizar o DNS da respectiva entrada de nome de host para apontar para o novo endereço IP. Como mencionado, você pode limitar o tempo potencial abaixando o TTL para que a alteração seja propagada rapidamente, também é possível fazer a alteração do endereço IP do DNS antes de realmente mover o servidor, para que a atualização entre em vigor antes da alteração e, assim, diminua a possível inacessibilidade.

Jeremy Bouse
fonte
Você pode esclarecer o que quer dizer com "você também pode alterar o endereço IP do DNS antes de realmente mover o servidor"? Se eu tenho um site https://www.hello.comhospedado em um servidor em 12.34.56.78 e deseja movê-lo para um novo servidor em 90.12.34.56, por que atualizaria o registro DNS para www.hello.comapontar para 90.12.34.56 antes de concluir a migração do aplicativo e dos dados para o novo servidor?
Mpavey # 13/18
Quase 10 anos após a resposta original ... Acho que ele quis dizer que você pode configurar um redirecionamento temporário no novo ip até que a mudança seja feita.
aanders77
1
@ mpavey Eu acho que ele estava assumindo que o servidor deveria ser fisicamente realocado, e não o conteúdo copiado do servidor antigo para o novo servidor. Ao definir o DNS para o novo IP quando você sair da sala de servidores antiga, ele terá tido tempo para se propagar quando você ligar o servidor na nova sala de servidores, minimizando o tempo de inatividade.
Kidquick