ใช่
ตัวช่วยสร้าง "สร้างคำขอใบรับรอง" จะสร้างคู่คีย์ใหม่โดยอัตโนมัติ
ในใบรับรองเซิร์ฟเวอร์ IIS ฉันไม่เคยถูกขอให้สร้างหรือเลือกรหัสส่วนตัว
อันที่จริงมันไม่เป็นความจริง - ตัวช่วยสร้างไม่ชัดเจนอย่างยิ่งเกี่ยวกับมัน
เมื่อคุณป้อนข้อมูลประจำตัว (ชื่อสามัญ, ท้องที่, องค์กร ฯลฯ ) และกด "ถัดไป" หน้าจอที่สองจะถาม 2 สิ่ง:
- ผู้ให้บริการการเข้ารหัสลับ (CSP)
- ความยาวบิต
การเลือก CSP เริ่มต้น - Microsoft RSA SChannel CSP - และความยาวบิตของ 2048 จะเท่ากับ Windows:
openssl req -new -newkey rsa:2048
กายวิภาคของคำขอลงนาม
CSR สามารถถูกมองว่ามี "ส่วน" 3 ส่วน:
- ข้อมูลประจำตัวในข้อความที่ชัดเจน (CN, ท้องที่, องค์กร ฯลฯ )
- นี่เป็นเพียงสตริงที่ผู้ลงนาม (CA) สามารถแก้ไขสิ่งที่ต้องการได้
- รหัสสาธารณะ
- คุณจะต้องมีรหัสส่วนตัวที่เกี่ยวข้องในเซิร์ฟเวอร์ของคุณ
- ฟิลด์ส่วนขยายเพิ่มเติม
- ยังคงเพียงแค่ล้างข้อมูลข้อความ
ผู้ออกให้ตรวจสอบข้อมูลในคำขอลงนามและอาจเปลี่ยนแปลงเนื้อหาของ (1) และ (3)
ผู้ออกใช้นั้นเป็นคีย์ส่วนตัว CA เพื่อเข้ารหัสคีย์สาธารณะของผู้ร้องขอ (2)
เมื่อมีการออกใบรับรองขั้นสุดท้ายจะมี:
- ข้อมูลประจำตัวในข้อความที่ชัดเจน (CN, ท้องที่, องค์กร ฯลฯ )
- ขณะนี้มีการเพิ่มข้อมูลผู้ออก
- รหัสสาธารณะ
- ฟิลด์ส่วนขยายเพิ่มเติม
- ตอนนี้อาจมีเขตข้อมูลส่วนขยายของผู้ออก
- ลายเซ็นหยด
- นี่คือคีย์สาธารณะที่เซ็นชื่อด้วยคีย์ส่วนตัวของ CA
ตอนนี้ในครั้งต่อไปที่ลูกค้าได้รับใบรับรองของคุณก็สามารถใช้กุญแจสาธารณะของผู้ออก CA เพื่อถอดรหัสลายเซ็น blob (4) และเปรียบเทียบกับกุญแจสาธารณะในใบรับรอง