การสร้าง CSR ผ่าน IIS 7.5 บน Windows Server 2008 R2 สร้างคีย์ส่วนตัวใหม่เสมอหรือไม่?


11

การสร้าง CSR สำหรับเซิร์ฟเวอร์ Windows 2008 R2 และจำเป็นต้องตรวจสอบให้แน่ใจว่าคีย์ส่วนตัวที่ใช้สำหรับ CSR นั้นใหม่

ฉันใช้ OpenSSL มาก่อนเพื่อสร้าง certs ที่ลงชื่อด้วยตนเองของฉันเองสำหรับการทดสอบและถ้าฉันจำได้อย่างถูกต้องฉันสามารถระบุรหัสส่วนตัวที่จะใช้

ในใบรับรองเซิร์ฟเวอร์ IIS ฉันไม่เคยถูกขอให้สร้างหรือเลือกรหัสส่วนตัว

ดังนั้นการสร้าง CSR บนเซิร์ฟเวอร์ที่ใช้ Windows จะสร้างคีย์ส่วนตัวใหม่ให้หรือไม่ ถ้าไม่ฉันจะมั่นใจได้อย่างไรว่ามีการสร้าง / ใช้คีย์ส่วนตัวใหม่


1
คุณหมายถึงรหัสส่วนตัวหรือไม่
EEAA

1
ใช่ขอบคุณแก้ไขทันที ฉันเป็นผู้พัฒนาก่อนดูแลระบบดังนั้นคีย์หลักเพิ่งออกมาจากหัวของฉันก่อน :)
jzimmerman2011

สร้าง CSR หรือสร้างใบรับรองหรือไม่ คุณกำลังทำอะไรอยู่และคุณทำมันอย่างไร (มันทำให้ความแตกต่าง.)
HopelessN00b

ฉันกำลังสร้าง CSR ที่จะมอบให้กับ CA เพื่อสร้างใบรับรอง สิ่งนี้กำลังดำเนินการผ่าน IIS และเป็นส่วนต่อประสานใบรับรองเซิร์ฟเวอร์
jzimmerman2011

คำตอบ:


8

ใช่

ตัวช่วยสร้าง "สร้างคำขอใบรับรอง" จะสร้างคู่คีย์ใหม่โดยอัตโนมัติ

ในใบรับรองเซิร์ฟเวอร์ IIS ฉันไม่เคยถูกขอให้สร้างหรือเลือกรหัสส่วนตัว

อันที่จริงมันไม่เป็นความจริง - ตัวช่วยสร้างไม่ชัดเจนอย่างยิ่งเกี่ยวกับมัน

เมื่อคุณป้อนข้อมูลประจำตัว (ชื่อสามัญ, ท้องที่, องค์กร ฯลฯ ) และกด "ถัดไป" หน้าจอที่สองจะถาม 2 สิ่ง:

  1. ผู้ให้บริการการเข้ารหัสลับ (CSP)
  2. ความยาวบิต

ป้อนคำอธิบายรูปภาพที่นี่

การเลือก CSP เริ่มต้น - Microsoft RSA SChannel CSP - และความยาวบิตของ 2048 จะเท่ากับ Windows:

openssl req -new -newkey rsa:2048

กายวิภาคของคำขอลงนาม

CSR สามารถถูกมองว่ามี "ส่วน" 3 ส่วน:

  1. ข้อมูลประจำตัวในข้อความที่ชัดเจน (CN, ท้องที่, องค์กร ฯลฯ )
    • นี่เป็นเพียงสตริงที่ผู้ลงนาม (CA) สามารถแก้ไขสิ่งที่ต้องการได้
  2. รหัสสาธารณะ
    • คุณจะต้องมีรหัสส่วนตัวที่เกี่ยวข้องในเซิร์ฟเวอร์ของคุณ
  3. ฟิลด์ส่วนขยายเพิ่มเติม
    • ยังคงเพียงแค่ล้างข้อมูลข้อความ

ผู้ออกให้ตรวจสอบข้อมูลในคำขอลงนามและอาจเปลี่ยนแปลงเนื้อหาของ (1) และ (3)
ผู้ออกใช้นั้นเป็นคีย์ส่วนตัว CA เพื่อเข้ารหัสคีย์สาธารณะของผู้ร้องขอ (2)

เมื่อมีการออกใบรับรองขั้นสุดท้ายจะมี:

  1. ข้อมูลประจำตัวในข้อความที่ชัดเจน (CN, ท้องที่, องค์กร ฯลฯ )
    • ขณะนี้มีการเพิ่มข้อมูลผู้ออก
  2. รหัสสาธารณะ
    • ยังคงเหมือนเดิม
  3. ฟิลด์ส่วนขยายเพิ่มเติม
    • ตอนนี้อาจมีเขตข้อมูลส่วนขยายของผู้ออก
  4. ลายเซ็นหยด
    • นี่คือคีย์สาธารณะที่เซ็นชื่อด้วยคีย์ส่วนตัวของ CA

ตอนนี้ในครั้งต่อไปที่ลูกค้าได้รับใบรับรองของคุณก็สามารถใช้กุญแจสาธารณะของผู้ออก CA เพื่อถอดรหัสลายเซ็น blob (4) และเปรียบเทียบกับกุญแจสาธารณะในใบรับรอง

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.