การสร้าง CSR ผ่าน IIS 7.5 บน Windows Server 2008 R2 สร้างคีย์ส่วนตัวใหม่เสมอหรือไม่?

การสร้าง CSR สำหรับเซิร์ฟเวอร์ Windows 2008 R2 และจำเป็นต้องตรวจสอบให้แน่ใจว่าคีย์ส่วนตัวที่ใช้สำหรับ CSR นั้นใหม่

ฉันใช้ OpenSSL มาก่อนเพื่อสร้าง certs ที่ลงชื่อด้วยตนเองของฉันเองสำหรับการทดสอบและถ้าฉันจำได้อย่างถูกต้องฉันสามารถระบุรหัสส่วนตัวที่จะใช้

ในใบรับรองเซิร์ฟเวอร์ IIS ฉันไม่เคยถูกขอให้สร้างหรือเลือกรหัสส่วนตัว

ดังนั้นการสร้าง CSR บนเซิร์ฟเวอร์ที่ใช้ Windows จะสร้างคีย์ส่วนตัวใหม่ให้หรือไม่ ถ้าไม่ฉันจะมั่นใจได้อย่างไรว่ามีการสร้าง / ใช้คีย์ส่วนตัวใหม่

ใช่

ตัวช่วยสร้าง "สร้างคำขอใบรับรอง" จะสร้างคู่คีย์ใหม่โดยอัตโนมัติ

ในใบรับรองเซิร์ฟเวอร์ IIS ฉันไม่เคยถูกขอให้สร้างหรือเลือกรหัสส่วนตัว

อันที่จริงมันไม่เป็นความจริง - ตัวช่วยสร้างไม่ชัดเจนอย่างยิ่งเกี่ยวกับมัน

เมื่อคุณป้อนข้อมูลประจำตัว (ชื่อสามัญ, ท้องที่, องค์กร ฯลฯ ) และกด "ถัดไป" หน้าจอที่สองจะถาม 2 สิ่ง:

1. ผู้ให้บริการการเข้ารหัสลับ (CSP)
2. ความยาวบิต

การเลือก CSP เริ่มต้น - Microsoft RSA SChannel CSP - และความยาวบิตของ 2048 จะเท่ากับ Windows:

openssl req -new -newkey rsa:2048

กายวิภาคของคำขอลงนาม

CSR สามารถถูกมองว่ามี "ส่วน" 3 ส่วน:

1. ข้อมูลประจำตัวในข้อความที่ชัดเจน (CN, ท้องที่, องค์กร ฯลฯ )
   • นี่เป็นเพียงสตริงที่ผู้ลงนาม (CA) สามารถแก้ไขสิ่งที่ต้องการได้
2. รหัสสาธารณะ
   • คุณจะต้องมีรหัสส่วนตัวที่เกี่ยวข้องในเซิร์ฟเวอร์ของคุณ
3. ฟิลด์ส่วนขยายเพิ่มเติม
   • ยังคงเพียงแค่ล้างข้อมูลข้อความ

ผู้ออกให้ตรวจสอบข้อมูลในคำขอลงนามและอาจเปลี่ยนแปลงเนื้อหาของ (1) และ (3)
ผู้ออกใช้นั้นเป็นคีย์ส่วนตัว CA เพื่อเข้ารหัสคีย์สาธารณะของผู้ร้องขอ (2)

เมื่อมีการออกใบรับรองขั้นสุดท้ายจะมี:

1. ข้อมูลประจำตัวในข้อความที่ชัดเจน (CN, ท้องที่, องค์กร ฯลฯ )
   • ขณะนี้มีการเพิ่มข้อมูลผู้ออก
2. รหัสสาธารณะ
   • ยังคงเหมือนเดิม
3. ฟิลด์ส่วนขยายเพิ่มเติม
   • ตอนนี้อาจมีเขตข้อมูลส่วนขยายของผู้ออก
4. ลายเซ็นหยด
   • นี่คือคีย์สาธารณะที่เซ็นชื่อด้วยคีย์ส่วนตัวของ CA

ตอนนี้ในครั้งต่อไปที่ลูกค้าได้รับใบรับรองของคุณก็สามารถใช้กุญแจสาธารณะของผู้ออก CA เพื่อถอดรหัสลายเซ็น blob (4) และเปรียบเทียบกับกุญแจสาธารณะในใบรับรอง