ต้องสร้าง CSRs บนเซิร์ฟเวอร์ที่จะโฮสต์ใบรับรอง SSL หรือไม่


54

จำเป็นต้องสร้าง CSR (คำขอลงนามใบรับรอง) บนเครื่องเดียวกับที่จะโฮสต์เว็บแอปพลิเคชันและใบรับรอง SSL ของฉันหรือไม่

หน้านี้ใน SSL Shopperกล่าวเช่นนั้น แต่ฉันไม่แน่ใจว่าเป็นเรื่องจริงหรือไม่เพราะนั่นหมายความว่าฉันต้องซื้อใบรับรอง SSL แยกต่างหากสำหรับแต่ละเซิร์ฟเวอร์ในคลัสเตอร์ของฉัน

CSR คืออะไร คำร้องขอ CSR หรือการลงนามใบรับรองเป็นบล็อกของข้อความเข้ารหัสที่สร้างขึ้นบนเซิร์ฟเวอร์ที่จะใช้ใบรับรอง


1
คุณกำลังสับสนความหมายต่าง ๆ ของคำว่า "เซิร์ฟเวอร์" เมื่อคุณพูดว่า "แต่ละเซิร์ฟเวอร์ในคลัสเตอร์ของฉัน" โดย "เซิร์ฟเวอร์" คุณหมายถึงกล่องที่มีอยู่จริง เมื่อพวกเขาพูดว่า "บนเซิร์ฟเวอร์ที่จะใช้ใบรับรอง" พวกเขาหมายถึงสิ่งที่ให้บริการไม่ว่าจะเป็นกล่องจริงหรือไม่ (เมื่อคุณสร้าง CSR ก่อนที่คุณจะส่งออกไปยัง CA ให้แน่ใจ 100% ว่าคุณรู้ตำแหน่งที่แน่นอนของคีย์ส่วนตัวที่เกี่ยวข้องใบรับรองจะไร้ประโยชน์หากไม่มี)
David Schwartz

คำตอบ:


61

ไม่ไม่จำเป็นต้องสร้าง CSR บนเครื่องที่คุณต้องการโฮสต์ใบรับรองผลลัพธ์ รับผิดชอบต่อสังคมไม่จำเป็นที่จะต้องสร้างขึ้นทั้งการใช้กุญแจส่วนตัวที่มีอยู่ที่ใบรับรองจะมีการจับคู่ในที่สุดด้วยหรือคีย์ส่วนตัวที่ตรงกันจะถูกสร้างขึ้นเป็นส่วนหนึ่งของกระบวนการสร้างความรับผิดชอบต่อสังคม

สิ่งที่สำคัญไม่มากโฮสต์กำเนิด แต่ที่คีย์ส่วนตัวและคีย์สาธารณะที่เกิดขึ้นเป็นคู่ที่ตรงกัน


8
และที่สำคัญภาคเอกชนยังคงเป็นส่วนตัว ไม่เพียงแค่คัดลอกไปรอบ ๆ ทุกที่แล้วส่งไปที่เพื่อนของคุณและขอให้เขาสร้าง csr ให้คุณ
Ladadadada

4
ปัจจัยที่ จำกัด คีย์ + ใบรับรองต่อการใช้งานกับเครื่องเฉพาะคือ DNS (ชื่อโฮสต์จำเป็นต้องตรงกับcnหรือฟิลด์SubjectAltName ) รวมถึงความเป็นเอกลักษณ์ ไม่เพียง แต่ใช้ไพรเวตคีย์เดียวกันกับเซิร์ฟเวอร์หลายเครื่องสร้างโปรไฟล์ความเสี่ยงที่สูงขึ้นเท่านั้น (ด้วยเหตุผลที่ดี)
แอนดรู B

(นอกจากนี้ฉันเห็นด้วยกับคำตอบฉันควรจะ worded ว่าเป็น "ชื่อโฮสต์ที่รับรู้ลูกค้า")
Andrew B

26

kce ไม่ถูกต้องไม่จำเป็นต้องทำบนเครื่องเดียวกัน แต่จำเป็นต้องทำจากคีย์ส่วนตัวที่เกี่ยวข้อง

เหตุผลเดียวที่ฉันโพสต์คำตอบที่สองคือไม่มีใครพูดว่าทำไมคุณอาจต้องการทำสิ่งนี้ เกือบทุกชุดคีย์ / CSR ที่ฉันสร้างเสร็จจากแล็ปท็อปหรือเดสก์ท็อปของฉันแล้วคัดลอกคีย์ไปยังเซิร์ฟเวอร์ที่จะติดตั้งใบรับรองอย่างปลอดภัยและ CSR จะถูกส่งไปยัง บริษัท ตัวแทน เหตุผลก็คือเอนโทรปี: โดยทั่วไปแล้วใบรับรอง SSL จะใช้ในการรักษาความปลอดภัยเซิร์ฟเวอร์และเซิร์ฟเวอร์มักจะมีพูลเอนโทรปีที่ตื้นมากซึ่งทำให้คีย์แพร์เหล่านั้นอ่อนตัวลงหรือทำให้การสร้างใช้เวลานาน เดสก์ท็อปในทางกลับกันมีแหล่งที่มาของการเชื่อมต่อแบบสุ่มที่มีประโยชน์ผ่านสายแป้นพิมพ์ / เมาส์และทำให้มีแนวโน้มที่จะมีพูลเอนโทรปีลึก พวกเขาจึงสร้างแพลตฟอร์มที่ดีกว่าสำหรับการดำเนินการที่ต้องใช้หมายเลขสุ่มคุณภาพสูงการสร้างคู่คีย์นั้นเป็นหนึ่งในนั้น

ดังนั้นกุญแจ / CSR สามารถสร้างขึ้นนอกเซิร์ฟเวอร์เท่านั้น แต่ฉันพบว่ามีเหตุผลที่ดีในการทำเช่นนั้น


2
ฉันดูความเสี่ยงของมนุษย์มากกว่าความเสี่ยงของเอนโทรปี เดสก์ท็อปยังมีความเสี่ยงของตัวเองมากมายขึ้นอยู่กับระบบปฏิบัติการและนโยบายการจัดการสินทรัพย์ไม่คำนึงถึงแนวปฏิบัติของผู้ดูแลระบบ (ภาคฮาร์ดไดรฟ์ที่ถูกทำลายก่อนที่จะลบถ้ามันเป็นกุญแจส่วนตัวที่ไม่ได้เข้ารหัสหรือไม่การปฏิบัติของผู้ใช้เคยเสี่ยงต่อการเปิดเผยกุญแจหรือไม่) PKI เป็นหนึ่งในสิ่งเหล่านั้นที่ฉันไม่ไว้วางใจให้หลายคนเข้าใจตั้งแต่ต้นจนจบ ไม่ต้องคำนึงถึงองค์ประกอบข้อผิดพลาดของมนุษย์ดังนั้นฉันจึงตั้งคำถามว่ามี "บ่อยครั้งที่มีเหตุผลที่ดีที่จะทำ" มิฉะนั้นเป็นจุดที่น่าสนใจ
Andrew B

ทั้งหมดนี้เป็นคำถามที่สมเหตุสมผลโดยเฉพาะเมื่อเปลี่ยนเป็นรายการปฏิบัติที่ดีที่สุดสำหรับการสร้างคู่คีย์ สำหรับผู้ที่ต้องการทำสิ่งนี้อย่างจริงจังจริง ๆมีคำแนะนำที่ยอดเยี่ยมที่serverfault.com/questions/307896/ … - คำถามเกี่ยวกับการสร้างและการจัดการ CA แต่ความคิดเหล่านั้นจำนวนมากยังสามารถนำมาใช้เพื่อการปฏิบัติที่ดีที่สุดใน keypair รุ่น
MadHatter

มันยุติธรรมตอนนี้ขอบคุณ ฉันแค่รู้สึกว่าจำเป็นต้องมีข้อจำกัดความรับผิดชอบเนื่องจากเป็นอันตรายสำหรับผู้ดูแลอันดับและไฟล์ที่ไม่เข้าใจความเสี่ยงที่เกี่ยวข้องกับการตีความว่าเป็นคำสั่งที่ดีที่สุด หากกุญแจถูกขโมยมันจะจบลง
Andrew B
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.