Vraag Moeten CSR's worden gegenereerd op de server die het SSL-certificaat host?


Is het nodig om de CSR (Certificate Signing Request) op dezelfde computer te genereren die mijn webtoepassing en SSL-certificaat host?

Deze pagina op SSL Shopper zegt dat, maar ik weet niet zeker of dat waar is, omdat het betekent dat ik een apart SSL-certificaat zou moeten kopen voor elke server in mijn cluster.

Wat is een CSR? Een CSR- of Certificate Signing-aanvraag is een blok van   gecodeerde tekst die wordt gegenereerd op de server die het certificaat bevat   zal worden gebruikt op.


47
2018-01-22 07:31


oorsprong


Je verwart verschillende betekenissen van het woord "server". Wanneer je 'elk' zegt server in mijn cluster ", met" server "bedoel je een fysieke box. Wanneer ze zeggen" op de server dat het certificaat zal worden gebruikt op ", ze bedoelen iets dat een service biedt, of het nu een fysieke box is of niet. (Wanneer je een CSR genereert, voordat je het naar een CA stuurt, zorg dan 100% zeker dat je precies weet waar de bijbehorende privésleutel is. Het certificaat is nutteloos zonder.) - David Schwartz


antwoorden:


Nee. Het is niet nodig om de CSR te genereren op de machine waarop u het resulterende certificaat wilt hosten. De CSR doet moet worden gegenereerd met behulp van de bestaande privésleutel waaraan het certificaat uiteindelijk wordt gekoppeld of de bijbehorende privésleutel wordt gegenereerd als onderdeel van het CSR-aanmaakproces.

Wat belangrijk is, is niet zozeer de oorspronkelijke host, maar dat de private sleutel en de resulterende publieke sleutel een bijpassend paar zijn.


52
2018-01-22 07:45



En dat de privésleutel overblijft privaat. Ga het niet gewoon overal kopiëren en stuur het vervolgens naar je partner en vraag hem om het mvo voor je te genereren. - Ladadadada
De factor die de sleutel + cert beperkt tot gebruik met een specifieke machine is DNS (hostnaam moet overeenkomen met de cn of a SubjectAltName veld), evenals uniekheid. Niet alleen maakt het gebruik van dezelfde privésleutel met meerdere servers een hoger risicoprofiel, maar software zal er in het verleden ook uitzien dat meerdere hosts hetzelfde serienummer gebruiken. (met goede reden) - Andrew B
(ook, ik ben het eens met het antwoord, ik had dat moeten omschrijven als "klant-waargenomen hostnaam") - Andrew B


kce heeft gelijk, het moet absoluut niet op dezelfde machine worden gedaan, maar het moet wel gebeuren met de relevante privésleutel.

De enige reden dat ik een tweede antwoord post is omdat niemand zei waarom misschien wil je zoiets doen. Bijna elke sleutel / CSR-set die ik genereer, wordt gedaan vanaf mijn laptop of desktop, waarna de sleutel veilig wordt gekopieerd naar de server waarop het certificaat zal worden geïnstalleerd en de CSR wordt verzonden naar het ondertekenende bureau. De reden is entropie: SSL-certificaten worden over het algemeen gebruikt om servers te beveiligen, en servers hebben vaak erg ondiepe entropiepools, die keypairs die ze maken, verzwakken of de creatie lang in beslag nemen. Desktops daarentegen hebben een bruikbare bron van willekeur verbonden via toetsenbord- / muiskabels en hebben dus de neiging diepe entropiepools te hebben. Ze maken daarom veel betere platforms voor operaties die hoogwaardige willekeurige getallen vereisen, waarbij keypair-generatie één is.

Dus de sleutel / CSR kan niet alleen off-server worden gegenereerd, maar ik vind dat er vaak een goede reden is om dit te doen.


23
2018-01-22 08:43



Ik beschouw het menselijke risico als groter dan het risico van entropie. Desktops hebben ook een overvloed aan eigen risico's, afhankelijk van het OS- en activabeheerbeleid, ongeacht de praktijken van de betrokken beheerders. (zijn de hardeschijfsectoren versnipperd voordat ze worden verwijderd als het een niet-gecodeerde privésleutel is? Loopt de gebruikerspraktijk ooit het risico om de sleutel te ontmaskeren?) PKI is een van die dingen die ik niet vertrouw dat veel mensen van begin tot eind begrijpen , nooit het menselijke foutelement, dus ik betwijfel of er sprake is van "vaak een goede reden om dit te doen". Anders een interessant punt. - Andrew B
Dat zijn allemaal redelijke vragen, vooral als ze worden omgezet in een lijst met beste praktijken voor het genereren van sleutelparen. Voor degenen die dit willen nemen werkelijk serieus, er zijn enkele uitstekende suggesties bij serverfault.com/questions/307896/... - de vraag gaat over het genereren en afhandelen van CA, maar veel van die ideeën kunnen ook worden overgenomen voor de beste praktijk bij het genereren van keypair. - MadHatter
Dat is eerlijk nu, dank u. Ik vond dat er een vorm van disclaimer moest komen, omdat het gevaarlijk is voor beheerders van rang en bestand die de risico's niet begrijpen om dit als een verklaring voor de beste praktijken te interpreteren. Als de sleutel kan worden gestolen, is het spel voorbij. - Andrew B