如何确保通配符证书私钥安全？

Question

现在是我们更新和更新通配符证书的时候了。我的任务是研究如何在不损害证书安全性的情况下保护私钥。(有了钥匙和证书，任何人都可以冒充我们。)

我理解使用通配符证书的利弊，这就是IT主管决定去的方向。

我们是一个99%的Windows商店，没有配置管理设置。我们可能需要触摸每台使用通配符证书的机器。

我知道一些配置管理工具(如木偶)有模块，您可以使用这些模块来传递安全变量，而不是明文密码。有没有一种方法可以在机器上安装证书，而不必将私钥分发给其他团队成员？

如有任何想法/想法/最佳做法，将不胜感激。

Answer 1

我会配置一个具有SSL解密功能的反向代理。因此，证书放在一个服务器中，并终止SSL/TLS连接。

您的私钥只在一台服务器上，您还可以使用IDS/IPS检查HTTP通信量。