我想对我们网站的 SSL 密钥保密。它存储在 2 个 U 盘上,一个在保险箱中,另一个我妥善保管。然后我是唯一一个将它应用于网络服务器的人,因此它是完全安全的。
除了...
至少在 IIS 上,您可以导出密钥。因此,作为管理员的任何人都可以获得密钥的副本。有没有办法解决?或者根据定义,所有管理员都可以完全访问所有密钥吗?
更新: 我确实有我完全信任的系统管理员。导致这种情况的原因是他们中的一个人辞职了(他们有一个小时的通勤时间到我们公司,有 5 分钟的时间通勤到新公司)。虽然我信任这个人,就像我们在有人离开时禁用他们的 Active Directory 帐户一样,我认为我们应该有办法确保他们不会保留使用我们 SSL 的能力。
最让我印象深刻的是,如果我是唯一拥有它的人。我们的证书在 1 月到期,所以如果可以的话,现在是时候改变做法了。根据答案,我们似乎不能。
因此,这引出了一个新问题——当有权访问证书的人离开时,获得新证书并撤销现有证书是否是标准做法。或者如果离开的人值得信赖,那么我们是否继续持有我们拥有的证书?