I CSR devono essere generati sul server che ospiterà il certificato SSL?

54

È necessario generare il CSR (Certificate Signing Request) sullo stesso computer che ospiterà la mia applicazione web e il certificato SSL?

Questa pagina su SSL Shopper lo dice, ma non sono sicuro che sia vero, perché significherebbe che dovrei acquistare un certificato SSL separato per ciascun server nel mio cluster.

Che cos'è un CSR? Una richiesta CSR o Firma certificato è un blocco di testo crittografato generato sul server su cui verrà utilizzato il certificato.

ssl ssl-certificate csr

— Mike M. Lin
fonte

1

Stai confondendo diversi significati della parola "server". Quando dici "ogni server nel mio cluster", per "server" intendi una casella fisica. Quando dicono "sul server su cui verrà utilizzato il certificato", significano qualcosa che fornisce un servizio, che si tratti di una scatola fisica o meno. (Quando si genera un CSR, prima di inviarlo a una CA, accertarsi al 100% di sapere esattamente dove si trova la chiave privata corrispondente. Il certificato sarà inutile senza di esso.)

— David Schwartz,

61

No. Non è necessario generare il CSR sulla macchina su cui si desidera ospitare il certificato risultante. La CSR non necessità di essere generata utilizzando la chiave privata esistente che il certificato verrà eventualmente abbinato o la sua chiave privata corrispondente viene generato come parte del processo di creazione del CSR.

L'importante non è tanto l'host di origine, ma la chiave privata e la chiave pubblica risultante sono una coppia corrispondente.

8

E che la chiave privata rimane privata . Non limitarti a copiarlo ovunque, quindi inviarlo via e-mail al tuo compagno e chiedergli di generare il CSR per te.

— Ladadadada,

4

Il fattore che limita la chiave + cert all'utilizzo con una macchina specifica è il DNS (il nome host deve corrispondere al campo cn o un campo SubjectAltName ), oltre all'unicità. L'uso della stessa chiave privata con più server non solo crea un profilo di rischio più elevato, ma il software impazzisce occasionalmente nel rilevare più host utilizzando lo stesso numero seriale. (con una buona ragione)

— Andrew B,

(inoltre, sono d'accordo con la risposta, avrei dovuto formularlo come "nome host percepito dal cliente")

— Andrew B

26

kce è completamente corretto, non deve assolutamente essere eseguito sulla stessa macchina, ma deve essere fatto dalla relativa chiave privata.

L'unica ragione per cui sto postando una seconda risposta è perché nessuno ha detto perché potresti voler fare una cosa del genere. Quasi ogni set di chiavi / CSR che genera viene eseguito dal mio laptop o desktop, quindi la chiave viene copiata in modo sicuro sul server in cui verrà installato il certificato e il CSR viene inviato all'agenzia di firma. Il motivo è l'entropia: i certificati SSL sono generalmente utilizzati per proteggere i server, e spesso i server hanno pool di entropia molto superficiali, che indeboliscono le coppie di chiavi che creano o fanno in modo che la creazione richieda molto tempo. I desktop, d'altra parte, hanno un'utile fonte di casualità collegata tramite cavi tastiera / mouse e quindi tendono ad avere pool di entropia profonda. Pertanto, creano piattaforme molto migliori per operazioni che richiedono numeri casuali di alta qualità, tra cui la generazione della coppia di chiavi.

Quindi non solo la chiave / CSR può essere generata off-server, ma trovo spesso che ci sia una buona ragione per farlo.

— Cappellaio Matto
fonte

2

Considero il rischio umano maggiore del rischio di entropia. I desktop presentano inoltre numerosi rischi, a seconda del sistema operativo e della politica di gestione delle risorse, indipendentemente dalle pratiche degli amministratori coinvolti. (i settori del disco rigido vengono distrutti prima dell'eliminazione se si tratta di una chiave privata non crittografata? la pratica dell'utente corre il rischio di esporre la chiave?) La PKI è una di quelle cose che non mi fido che molte persone capiscano da cima a fondo , non importa l'elemento dell'errore umano, quindi metto in dubbio l'affermazione secondo cui "spesso è una buona ragione per farlo". Altrimenti, un punto interessante.

— Andrew B,

Quelle sono tutte domande ragionevoli, specialmente se trasformate in un elenco di buone pratiche per la generazione di coppie di chiavi. Per coloro che vogliono prenderlo davvero sul serio, ci sono alcuni ottimi suggerimenti su serverfault.com/questions/307896/… - la domanda riguarda la generazione e la gestione della CA, ma molte di queste idee possono anche essere adottate per le migliori pratiche nel campo dei soldi generazione.

— MadHatter,

Adesso è giusto, grazie. Ho solo sentito che doveva esserci una sorta di dichiarazione di non responsabilità, poiché è pericoloso per gli amministratori di rango e file che non comprendono i rischi connessi interpretarlo come una dichiarazione di buone pratiche. Se la chiave può essere rubata, il gioco è finito.

— Andrew B,