Потрібно створити CSR-адреси на сервері, на якому розміститься сертифікат SSL?

54

Чи потрібно генерувати CSR (запит на підпис сертифіката) на тому самому пристрої, на якому буде розміщена моя веб-програма та сертифікат SSL?

Ця сторінка на SSL Shopper говорить так, але я не впевнений, чи це правда, тому що це означатиме, що мені доведеться придбати окремий сертифікат SSL для кожного сервера мого кластеру.

Що таке КСВ? CSR або запит на підпис сертифіката - це блок зашифрованого тексту, який генерується на сервері, на якому буде використовуватися сертифікат.

ssl ssl-certificate csr

— Майк М. Лін
джерело

1

Ви плутаєте різні значення слова "сервер". Коли ви говорите "кожен сервер у моєму кластері", під "сервером" ви маєте на увазі фізичне поле. Коли вони говорять "на сервері, що сертифікат буде використовуватися", вони означають те, що надає послугу, будь то фізична скринька чи ні. (Коли ви генеруєте КСВ, перш ніж відправляти його в ЦА, переконайтесь, що ви точно знаєте, де знаходиться відповідний приватний ключ. Сертифікат буде без нього марним.)

— Девід Шварц

61

Ні. Не потрібно генерувати CSR на машині, на якій потрібно розмістити отриманий сертифікат. CSR дійсно необхідно генерувати або використовуючи існуючий закритий ключ, сертифікат буде в кінцевому рахунку , в парі з або його відповідність закритий ключ генерується як частина процесу створення CSR.

Важливо не стільки вихідний хост, скільки приватний ключ і відкритий відкритий ключ - відповідна пара.

8

І що приватний ключ залишається приватним . Не просто копіюйте його скрізь, а потім надішліть його своєму партнеру та попросіть його створити для вас csr.

— Ladadadada

4

Фактор, що обмежує ключ + cert для використання на певній машині, - це DNS (ім'я хоста повинно відповідати полю cn або SubjectAltName ), а також унікальність. Використання одного і того ж приватного ключа на декількох серверах не тільки створює більш високий профіль ризику, але і програмне забезпечення буде іноді виводити з нього виявлення декількох хостів, використовуючи один і той же серійний номер. (з поважною причиною)

— Андрій Б

(також я згоден з відповіддю. Я повинен був сформулювати це як "ім'я хоста", сприйняте клієнтом)

— Андрій Б

26

kce мертвий правильно, його абсолютно не потрібно робити на одній машині, але це потрібно робити з відповідного приватного ключа.

Єдиною причиною, коли я публікую другу відповідь, є те, що ніхто не сказав, чому ви могли б зробити таке. Майже кожен набір ключів / CSR, який я генерую, робиться з мого ноутбука чи робочого столу, потім ключ надійно копіюється на сервер, на якому буде встановлений сертифікат, і CSR відправляється агенству, що підписує. Причина - ентропія: SSL-сертифікати, як правило, використовуються для захисту серверів, а сервери часто мають дуже неглибокі пули ентропії, що або послаблює створені ними клавіатури, або змушує створення зайняти багато часу. З іншого боку, настільні комп’ютери мають корисне джерело випадковості, з'єднане за допомогою кабелів клавіатури / миші, і, отже, мають тенденцію мати глибокі пули ентропії. Тому вони роблять набагато кращі платформи для операцій, які вимагають високоякісних випадкових чисел, одна з таких генерація генерації ключів.

Отже, не тільки ключ / CSR можна генерувати поза сервером, але я вважаю, що для цього часто є вагомі причини.

— MadHatter
джерело

2

Я вважаю, що ризик для людини є більшим, ніж ризик ентропії. Настільних комп'ютерах також є безліч власних ризиків залежно від ОС та політики управління активами, не заважаючи практикам залучених адміністраторів. (чи подрібнюються сектори жорсткого диска перед видаленням, якщо це незашифрований приватний ключ? Чи користувач коли-небудь ризикує викрити ключ?) PKI - це одна з тих речей, які я не довіряю багатьом людям зрозуміти від кінця до кінця. , ніколи не зважайте на елемент людської помилки, тому я сумніваюся у твердженні про те, що "часто є вагомою причиною для цього". Інакше цікавий момент.

— Андрій Б

Це все розумні питання, особливо якщо вони перетворилися на перелік найкращих практик для генерації ключів. Для тих, хто хоче сприймати це по- справжньому серйозно, є кілька чудових пропозицій на сервері defaultfault.com/questions/307896/… - питання стосується генерації та поводження з ЦА, але багато з цих ідей також можуть бути прийняті для передового досвіду роботи в режимі клавіатури покоління.

— MadHatter

Це справедливо зараз, дякую. Я просто відчував, що потрібно мати якусь відмову, оскільки це небезпечно для адміністраторів, які не розуміють ризиків, щоб інтерпретувати це як найкращу практику. Якщо ключ можна вкрасти, це гра закінчена.

— Андрій Б