ฉันต้องสร้าง CSR สำหรับใบรับรอง SSL แบบ wildcard คำถามที่พบบ่อยบางอย่างจากผู้ให้บริการ SSL บอกว่าฉันควรสร้างไฟล์ CSR บนเครื่องที่ฉันต้องการติดตั้งใบรับรองหรือไม่ ความเข้าใจของฉันคือมันไม่สำคัญว่าฉันจะสร้าง CSR หรือไฟล์คีย์ได้ที่ไหนตราบใดที่ฉันย้ายไฟล์ไปยังตำแหน่งที่ถูกต้องในภายหลัง
ดังนั้นคำถามของฉันคือ: การสร้าง CSR และไฟล์คีย์สำหรับการรับรอง SSL นั้นมีความสำคัญหรือไม่
คำตอบ:
ความเข้าใจของคุณถูกต้อง ทุกสิ่งเท่าเทียมกันมันไม่สำคัญ แต่มีริ้วรอย
ข้อดีอย่างหนึ่งของการสร้างสิ่งเหล่านี้บนเซิร์ฟเวอร์ที่เป็นปัญหาคือช่วยลดโอกาสที่รหัสถูกบุกรุกระหว่างการขนส่ง ตราบใดที่คุณใช้เครื่องที่ปลอดภัยเพื่อสร้างมันและวิธีการที่ปลอดภัย (ภูมิคุ้มกันต่อการโจมตีของ MITM) เพื่อย้ายพวกมันไปยังเซิร์ฟเวอร์ อย่าลืมลบออกอย่างปลอดภัยบนระบบการสร้างเว้นแต่คุณตั้งใจจะเก็บสำเนาไว้อย่างปลอดภัยและมีความปลอดภัยตามนั้น
ข้อดีอย่างหนึ่งของการสร้างเครื่องแยก: โดยปกติจะเป็นเดสก์ท็อปของคุณ เอนโทรปีของพูลเดสก์ท็อปนั้นเกือบจะลึกกว่าเซิร์ฟเวอร์ที่ไม่ต้องดูแลเนื่องจากเดสก์ท็อปมีแหล่งการสุ่มขนาดใหญ่เชื่อมต่อผ่านสายคีย์บอร์ดและเมาส์ (เช่นคุณ!) การขาดแคลนเอนโทรปีอาจทำให้เกิดการสร้างคีย์เพื่อใช้เวลานานหรือทำให้ใช้/dev/urandomPRNG เอาต์พุตแทนขึ้นอยู่กับว่าเครื่องมือสร้างเกิดความหวาดระแวงอย่างไรและสิ่งนี้อาจนำไปสู่คีย์ที่อ่อนแอกว่า เครื่องเดสก์ท็อปมักจะไม่มีปัญหานี้
แก้ไขในภายหลัง : ตามการสนทนาที่อื่นซึ่งเชื่อมโยงที่นี่สองจุดได้รับการยก ประการแรกคุณสามารถไปสำหรับบ้านครึ่งทางโดยการสร้างเอนโทรปีบนเดสก์ทอปของคุณด้วยเช่นdd if=/dev/random bs=1k count=10 of=/tmp/entropy.datคัดลอกที่ไปยังเซิร์ฟเวอร์ระยะไกลและการให้อาหารไปยังกระบวนการผลิตที่สำคัญของคุณไม่ว่าโดยตรงหรือโดยลึกสระว่ายน้ำเอนโทรปีเซิร์ฟเวอร์ระยะไกล ฉันยังไม่พบวิธีในการทำแบบเดิมและการทำแบบหลังโดยทั่วไปต้องใช้สิทธิ์แบบพิเศษซึ่ง - หากช่องทางระหว่างคุณและเซิร์ฟเวอร์ระยะไกลไม่ปลอดภัยซึ่งค่อนข้างเป็นประเด็นของการคัดค้านทั้งหมด - ก็ไม่ปลอดภัยเช่นกัน
ประการที่สองmjg59 ที่ประเมินได้จะทำให้เกิดปัญหาเกี่ยวกับโมดูลความปลอดภัยของฮาร์ดแวร์นั่นคืออุปกรณ์ที่คุณใส่หรือภายในที่คุณสร้างไพรเวตคีย์และจากนั้นจะทำการคีย์โดยไม่ปล่อยให้กุญแจออกมา นั่นเป็นจุดที่ยอดเยี่ยม แต่อยู่นอกขอบเขตของคำถามนี้
แต่ผลลัพธ์ทั่วไปของเธรด - ที่คุณควรมีโมเดลการคุกคามที่แม่นยำและเลือกการตอบสนองของคุณอย่างเหมาะสม - เป็นสิ่งที่ดี รูปแบบการคุกคามของฉันคือช่องทางการสื่อสารของฉันมีความปลอดภัย แต่จุดสิ้นสุดของฉันอยู่ภายใต้การโจมตีที่ชาญฉลาด นั่นหมายความว่าฉันจะสร้างคู่คีย์ SSL ที่มีความแข็งแรงสูงในพื้นที่และแจกจ่ายให้ หากปรากฎว่าแบบจำลองของฉันไม่ถูกต้องและ comms ของฉันกลายเป็นช่องโหว่ฉันจะรู้ทันทีว่าสมมติว่าคีย์แพร์ SSL ของฉันทั้งหมดถูกบุกรุก หากรูปแบบการคุกคามของคุณแตกต่างกันคุณควรปรับการปฏิบัติของคุณให้เหมาะสม
มันค่อนข้างสำคัญ
หากคุณสร้างขึ้นมาในเครื่องอื่น ๆ คีย์จะมีความเสี่ยงต่อการสร้างเครื่องและจากนั้นบนเซิร์ฟเวอร์ หากคุณใช้เครื่องที่ติดไวรัสเพื่อสร้างพวกเขา virii บางคนอาจขโมยกุญแจแม้ว่าพวกเขาจะถูกย้ายไปยังเซิร์ฟเวอร์ที่ปลอดภัย
หากคุณสร้างพวกเขาบนเซิร์ฟเวอร์ที่ปลอดภัยและเพียงแค่ย้าย CSR / รับรองไปรอบ ๆ โอกาสของบางคน / บางสิ่งบางอย่างในการรับคีย์ส่วนตัวนั้นมีขนาดเล็กลงในกรณีแรกเนื่องจากไพรเวตคีย์จะอยู่ในเครื่องเดียวเท่านั้น