Вопрос: Должны ли создаваться CSR на сервере, на котором будет размещен сертификат SSL?


Нужно ли генерировать CSR (запрос подписи сертификата) на том же компьютере, на котором будет размещаться мое веб-приложение и сертификат SSL?

Эта на странице SSL Shopper говорит так, но я не уверен, что это правда, потому что это означало бы, что мне придется покупать отдельный сертификат SSL для каждого сервера в моем кластере.

Что такое CSR? Запрос CSR или Certificate Signing - это блок   зашифрованный текст, который генерируется на сервере, что сертификат   будет использоваться.


46
2018-01-22 07:31


Источник


Вы смешиваете разные значения слова «сервер». Когда вы говорите «каждый сервер в моем кластере "," сервером "вы имеете в виду физическое поле. Когда они говорят" на сервер что сертификат будет использоваться на ", они означают вещь, которая предоставляет услугу, будь то физическое поле или нет. (Когда вы создаете CSR, прежде чем отправлять его в CA, убедитесь, что вы точно знаете, где именно соответствующий секретный ключ. Без него сертификат будет бесполезен.) - David Schwartz


Ответы:


Нет. Нет необходимости генерировать CSR на машине, на которой вы хотите разместить результирующий сертификат. CSR делает должны быть сгенерированы либо с использованием существующего закрытого ключа, который в конечном итоге будет сопряжен с сертификатом, либо его соответствующий закрытый ключ генерируется как часть процесса создания КСО.

Важно не столько исходный хост, сколько закрытый ключ и итоговый открытый ключ.


50
2018-01-22 07:45



И что частный ключ остается частный, Не просто копируйте его повсюду, а затем отправляйте по электронной почте своему помощнику и попросите его создать csr для вас. - Ladadadada
Фактор, который ограничивает использование ключа + cert для конкретной машины, - это DNS (имя хоста должно соответствовать сп или SubjectAltName поле), а также уникальность. Мало того, что использование одного и того же закрытого ключа с несколькими серверами создает более высокий профиль риска, но программное обеспечение будет часто выходить из него, обнаруживает несколько хостов с использованием того же серийного номера. (без уважительной причины) - Andrew B
(также, я согласен с ответом, я должен был сформулировать это как «клиент-воспринимаемое имя хоста») - Andrew B


kce мертв правильно, его абсолютно не нужно делать на одной машине, но это нужно делать из соответствующего закрытого ключа.

Единственная причина, по которой я отправляю второй ответ, - это то, что никто не сказал Зачем вы, возможно, захотите это сделать. Почти каждый набор ключей / CSR, который я генерирую, выполняется с моего ноутбука или на рабочем столе, тогда ключ надежно копируется на сервер, на котором будет установлен сертификат, а CSR отправляется агентству подписи. Причина в энтропии: SSL-сертификаты обычно используются для защиты серверов, а серверы часто имеют очень мелкие пулы энтропий, которые либо ослабляют ключевые пары, которые они создают, либо делают создание длительным. С другой стороны, настольные компьютеры имеют полезный источник случайности, связанный с помощью кабелей клавиатуры и мыши, и, как правило, имеют глубокие энтропийные пулы. Поэтому они делают гораздо более совершенные платформы для операций, требующих высококачественных случайных чисел, а генерация ключей - одна из таких.

Таким образом, не только ключ / CSR генерируется вне сервера, но я считаю, что для этого часто есть веские причины.


22
2018-01-22 08:43



Я рассматриваю риск человека как больший, чем риск энтропии. На настольных компьютерах также есть множество собственных рисков в зависимости от ОС и политики управления активами, неважно, какие действия задействованы администраторов. (сектора жесткого диска измельчаются до удаления, если это незашифрованный закрытый ключ? когда пользовательская практика когда-либо подвергается риску разоблачения ключа?) PKI является одной из тех вещей, которые я не доверяю многим людям, чтобы понять от конца до конца , никогда не думайте о человеческом элементе ошибки, поэтому я сомневаюсь в утверждении, что «часто есть веская причина для этого». В противном случае, интересный момент. - Andrew B
Это все разумные вопросы, особенно если они превратились в список лучших практик для генерации ключей. Для тех, кто хочет принять это действительно серьезно, есть несколько замечательных serverfault.com/questions/307896/... - речь идет о создании ЦА и обработке, но многие из этих идей также могут быть приняты для лучшей практики в производстве ключей. - MadHatter
Это справедливо, спасибо. Я просто чувствовал, что нужно быть каким-то образом отказа от ответственности, так как это опасно для рядовых администраторов, которые не понимают связанных с этим рисков, чтобы интерпретировать это как заявление о лучшей практике. Если ключ можно украсть, это игра. - Andrew B