Security
我應該在導入 SSL 證書後刪除 .pfx 或 .cer 文件嗎?
提供後,我必須使用 .pfx 或 .cer 將 SSL 證書導入到 Windows Server (2008 R2) 上的 IIS 以供使用。
我的問題是,我是否應該在將證書成功導入證書儲存後刪除這些文件?我以為有人告訴我這很重要,因為您不希望任何人獲取這些文件並能夠使用證書或惡意導入。我知道如果我需要傳輸證書,我總是可以導出它,但我想知道我是否應該在導入後從伺服器上刪除這些文件?
SSL證書有兩個部分;一個公鑰和一個私鑰。
.CER 文件不包含任何秘密。它是 Web 伺服器發送給連接到啟用 SSL 的站點的每個客戶端的公鑰。從安全的角度來看,沒有理由將其刪除。事實上,您可能希望備份它,以防伺服器當機並且需要在替換它的任何東西上重新使用它。
但是,.CER 文件沒有匹配的私鑰就沒有用處。當您創建證書請求時,Windows 會自動生成一個私鑰。您的 .PFX 文件肯定包含 .CER 的副本。但它可能包含也可能不包含私鑰的副本。這完全取決於誰生成它以及如何生成它。
如果 PFX 文件確實包含私鑰,那麼是的。把那個壞男孩鎖在異地,然後從伺服器上刪除副本。擁有該文件的人可能會使用它來冒充您的網站。
如果 PFX 文件不包含私鑰,它不會比原始 CER 文件有用。如果可能,您可能希望導出一個新的 PFX 文件,其中包含用於 DR/備份目的的私鑰(假設證書允許導出私鑰)。