Mover servidores e IP cambiará. ¿Es necesario volver a emitir e instalar los certificados SSL?

29

Estamos trasladando servidores a otra instalación con diferentes bloques de direcciones IP. ¿Tendremos que obtener nuevos certificados SSL emitidos e instalados una vez que se haya realizado la mudanza?

Si es así, ¿hay alguna forma de prepararse para esto antes de mover el servidor en lugar de esperar a que se inicie para luego pasar por el proceso de solicitud de IIS, ir al proveedor de certificados, etc.?

dmr83457
fuente

Respuestas:

35

La mayoría de los certificados SSL (creo que TODOS) están basados ​​en nombres de dominio, por lo que no debería ser necesario obtener un nuevo certificado siempre que el nombre de host del servidor sea el mismo después del traslado.

Sin embargo, requerirá un cambio de DNS, cronometrado con el movimiento.

Vatine
fuente
21

No, SSL está vinculado al nombre de dominio, no a la dirección IP pública. Sin embargo, para su preparación, debe configurar su TTL de DNS para que sea bajo, de modo que la propagación sea rápida.

El único momento en que SSL e IP colisionan es cuando está trabajando con múltiples certificados SSL en una sola caja IIS.

6 años después, quería agregar una edición rápida a esta. Sé que la pregunta no era sobre asignar un certificado SSL a una IP, pero eso es posible.

"" Un certificado SSL generalmente se emite a un Nombre de dominio completo (FQDN) como " https://www.domain.com ". Sin embargo, algunas organizaciones necesitan un certificado SSL emitido a una dirección IP pública. Esta opción le permite especificar una dirección IP pública como el Nombre común en su Solicitud de firma de certificado (CSR). El certificado emitido se puede usar para proteger las conexiones directamente con la dirección IP pública (por ejemplo, https://123.456.78.99 .) "."

DanBig
fuente
2
No elegí tu respuesta como LA respuesta, pero agradezco los consejos adicionales sobre TTL.
dmr83457 el
entonces, si la ip cambia y tengo un certificado vinculado a la ip, ¿aún puedo usar el cert?
user3123159
4

Los certificados SSL están vinculados a una sola dirección IP en la medida en que solo puede tener un certificado vinculado a una dirección IP determinada. Se espera que los propios certificados coincidan con el Nombre común (CN), que normalmente es el nombre de host ingresado en DNS y configurado para el servicio (IMAP, HTTPS, SMTP, etc.).

Dicho esto, el traslado de servidores y el cambio de la dirección IP no es un problema, siempre que realice los pasos necesarios para actualizar el DNS para que la entrada del nombre de host respectivo apunte a la nueva dirección IP. Como se mencionó, puede limitar el tiempo potencial reduciendo el TTL para que el cambio se propague rápidamente, también puede hacer que la dirección IP de DNS cambie antes de mover el servidor para que la actualización entre en vigencia antes del cambio y, por lo tanto, disminuya la posible imposibilidad de acceso.

Jeremy Bouse
fuente
¿Puede aclarar lo que quiere decir con "también puede hacer que la dirección IP de DNS cambie antes de mover el servidor"? Si tengo un sitio web https://www.hello.comalojado en un servidor en 12.34.56.78 y quiero moverlo a un nuevo servidor en 90.12.34.56, ¿por qué actualizaría el registro DNS para www.hello.comque apunte a 90.12.34.56 antes de haber terminado de migrar la aplicación y los datos a el nuevo servidor?
mpavey
Casi 10 años después de la respuesta original ... Supongo que quería decir que podría configurar una redirección temporal en la nueva ip hasta que se realice el movimiento.
aanders77
1
@mpavey Creo que estaba asumiendo que el servidor debía ser reubicado físicamente, no los contenidos copiados del servidor antiguo al nuevo servidor. Al configurar el DNS en la nueva IP cuando salga de la sala de servidores anterior, habrá tenido tiempo de propagarse cuando encienda el servidor en la sala de servidores nueva, minimizando así el tiempo de inactividad.
Kidquick