Bonjour,

J'héberge chez moi un serveur web avec plusieurs applications et noms de domaine.

Les certificats sont faits avec let's encrypt et certbot.

Je suis en train de constituer un serveur de backup toujours chez moi. 

La question porte sur les certificats :

- puis je utiliser les certificats du serveur de prod en les appliquant sur le serveur de backup ? si oui quelles conditions par exemple sur l'adresse IP, le hostname, etc ?

ou

- dois je générer de nouveau certificats sur le serveur de backup ?

D'avance merci pour vos réponses.

A+

Bonjour,



> puis je utiliser les certificats du serveur de prod en les appliquant sur le serveur de backup ? si oui quelles conditions par exemple sur l'adresse IP, le hostname, etc ?

Tu as tout à fait le droit de dupliquer le certificat et sa clé privée sur un autre serveur.

Du point de vue du client TLS, le certificat sera valide s'il a été signé par une CA parmi la liste autorisée et en fonction des dates de début/fin de validité. Le client peut aussi valider le CN.

En HTTPS, le navigateur utilisera le nom d'hôte apparaissant dans l'URL. Un autre exemple avec OpenVPN, où le fichier de configuration pour le client contient explicitement le CN qui doit être utilisé par le serveur.

Il y a donc bien une condition sur le hostname : si le certificat est émis pour "example.com" mais que tu accèdes au serveur de backup avec https://backup.example.com, tu obtiendras une erreur indique que le CN ne correspond pas.
Cependant, si tu rediriges example.com vers l'adresse IP du serveur de sauvegarde, https://example.com pointera vers le serveur de backup qui possède un certificat pour example.com
De manière analogue, si tu laisses example.com pointé vers la même IP, mais que cette IP est une "fail-over" (NAT 1:1) et que tu la bascules sur le serveur de sauvegarde, alors https://example.com pointera également vers le serveur de sauvegarde qui possède un certificat pour ce nom.

Cela dit, je ne pense pas que ça soit une bonne idée de partager les certificats de cette façon :

• Si un serveur est compromis et que le hacker obtient la clé privée, il pourra alors déchiffrer le trafic des autres serveurs.
  
  
• Les accès/permissions/personnes ne sont généralement pas les mêmes sur un serveur en production, en staging ou en développement. Partager la clé privée sur des serveurs avec des niveaux de confidentialités ou des polices d'accès différents présente le risque de donner un accès à une information privée à des personnes qui ne devraient y avoir accès.
  
  
  
  > dois je générer de nouveau certificats sur le serveur de backup ?

Ça me semble le mieux, il s'agit de deux serveurs différents, avec des noms différents, des rôles différents, je ne vois pas pourquoi ils devraient partager le même certificat.

Je ne pense pas que les certificats devraient être sauvegardés puisqu'ils peuvent être regénérés à la demande. Il est peut-être plus intéressant d'automatiser le déploiement de tes applications, la configuration du serveur HTTP(S) et l'obtention des certificats de façon à ce que ça fonctionne sans devoir fournir les certificats en entrée.

Merci pour les explications.

Mon serveur est bien un serveur de backup  : c'est à dire qu'il rend la totalité du service quand le serveur de prod "principal" est pour une raison quelconque hs.

Il est donc bien accédé avec les mêmes noms de domaine, les mêmes droits pour les utilisateurs, etc.

Vu des utilisateurs cela doit être transparent.

J'ai copié les certificats et cela fonctionne. La manip de bascule est assez simple puisqu'il me faut juste dans mon routeur changer l'adresse IP Lan pour rediriger le trafic vers l'IP du serveur de backup.

A+