Vraag Wat is een challenge-wachtwoord?


Ik installeer SSL op een Ubuntu-server. Een van de velden waar het om vraagt ​​bij het opstellen van de CSR is een 'challenge-wachtwoord'. Wat is dat? De standaard is leeg. Moet ik er een invoeren?


155
2018-05-04 14:34


oorsprong




antwoorden:


Het "challenge-wachtwoord" dat wordt gevraagd als onderdeel van de CSR-generatie, verschilt van de wachtwoordzin die wordt gebruikt om de geheime sleutel te coderen (gevraagd op de sleutel genereertijd, of wanneer een platte tekstsleutel later wordt gecodeerd - en vervolgens opnieuw gevraagd telkens wanneer de SSL-enabled service die deze gebruikt opstart).

Hier wordt een sleutel gegenereerd en het begin van de gegenereerde sleutel:

$ openssl genpkey -algorithm rsa -out foo.key
............++++++
...++++++

$ head -3 foo.key
-----BEGIN PRIVATE KEY-----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy//r/S
eeK/gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

Deze sleutel heeft geen wachtwoordzin. Ik ben bij de schepping niet gevraagd om er een te zijn en heb er geen ingevoerd. Laten we nu een gecodeerde sleutel genereren:

$ openssl genpkey -algorithm rsa -des3 -out bar.key
...........................................++++++
.....................................++++++
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

$ head -3 bar.key
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIICxjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQInfwj1iv3icMCAggA
MBQGCCqGSIb3DQMHBAizMHBklBexiwSCAoDtRKf1WtMiVMH7HraGTIG0rlQS6Xuj

Dus het zou duidelijk moeten zijn wat een versleutelde private sleutel (welke apache, of welke andere SSL-enabled server dan ook moet ontgrendelen wanneer deze start) en een private sleutel in niet-versleutelde tekst (die niet ontgrendeld hoeft te worden bij de starttijd van de service) eruit zien als . Nu zal ik een CSR genereren met een challenge-wachtwoord van de ongecodeerde sleutel:

$ openssl req -new -key foo.key
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:asdfasdf
An optional company name []:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

En alleen om te laten zien dat de sleutel niet magisch is gecodeerd:

$ head -3 foo.key
-----BEGIN PRIVATE KEY-----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy//r/S
eeK/gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

Dus ik zeg nog een keer: het "challenge-wachtwoord" dat wordt gevraagd als onderdeel van de CSR-generatie is niet hetzelfde als een wachtzin die wordt gebruikt om de geheime sleutel te versleutelen. Het 'challenge-wachtwoord' is in feite een geheim-gedeelde tegenstrijdigheid tussen u en de SSL-certificaatuitgever (ook wel de certificeringsautoriteit of CA genoemd), die is ingesloten in de CSR, die de uitgever mogelijk zal gebruiken om u te verifiëren als dat ooit nodig zou zijn. Sommige SSL-certificaatuitgevers maken dat duidelijker dan andere; kijken onderaan deze pagina om te zien waar ze zeggen dat het challenge-wachtwoord nodig is - dat is het niet wanneer u apache opnieuw start:

Als u ervoor kiest om een ​​challenge-wachtwoord in te voeren en te gebruiken, hebt u dit nodig   om ervoor te zorgen dat u dat wachtwoord op een veilige plaats bewaart. als jij   ooit nodig om uw certificaat opnieuw te installeren om welke reden dan ook, dat zal u ook zijn   vereist om dat wachtwoord in te voeren.


138
2018-05-04 15:29



Is er een verschil tussen een "SSL-verstrekker" en een CA (certificeringsinstantie)? - Jonathan
Technisch gezien geven ze niet zelf het SSL-protocol uit, maar eerder een SSL-compatibel certificaat. Ik heb het gevoel dat SSL-uitgever minder duidelijk is. SSL-certificaatverlener zou duidelijk zijn, naar mijn bescheiden mening. - Jonathan
Zeer (zeer) volledig antwoord, wanneer men IMHO niet nodig had. Op basis van de vraag, zou je al je antwoorden kunnen elimineren, behalve dat het volgen van 'Het' challenge-wachtwoord 'in feite een geheim-gedeelde nonce ...' is. Ik geloof dat dat de vraag net zo volledig zou hebben beantwoord, met minder afleidende, niet-relevante informatie. - joe
@joe bedankt! Wat je niet kunt zien (omdat je de vertegenwoordiger niet hebt), is dat ik reageerde op een sindsdien verwijderd eerder antwoord van een zeer hoog gewaardeerde gebruiker (die in dit geval helaas verkeerd was), dus moest doen een puntsgewijze weerlegging. De daaropvolgende verwijdering, die niet door de auteur werd gedaan, maakt de mijne een beetje vreemd, maar tot nu toe heb ik ervoor gekozen om het te laten staan. Als voldoende anderen jouw standpunt ondersteunen door je reactie up-up te geven, zal ik mijn antwoord aanpassen. - MadHatter
Ik was verbijsterd door deze zelfde vraag en vond dit antwoord niet zo nuttig voor mijn beperkte begrip van het onderwerp (vanwege de manier waarop het is geschreven), maar gelukkig vond ik mijn antwoord van security.stackexchange.com/a/77082/67048 - zagrimsan