it-swarm.com.de

Müssen CSRs auf dem Server generiert werden, auf dem das SSL-Zertifikat gehostet wird?

Ist es erforderlich, die CSR (Certificate Signing Request) auf demselben Computer zu generieren, auf dem meine Webanwendung und mein SSL-Zertifikat gehostet werden?

Diese Seite auf SSL Shopper sagt es, aber ich bin nicht sicher, ob das stimmt, da dies bedeuten würde, dass ich für jeden Server in meinem Cluster ein separates SSL-Zertifikat kaufen müsste.

Was ist eine CSR? Eine CSR- oder Zertifikatsignierungsanforderung ist ein Block verschlüsselten Texts, der auf dem Server generiert wird, auf dem das Zertifikat verwendet wird.

57
Mike M. Lin

Nein. Es ist nicht erforderlich, die CSR auf dem Computer zu generieren, auf dem Sie das resultierende Zertifikat hosten möchten. Die CSR tut muss entweder mit dem vorhandenen privaten Schlüssel generiert werden, mit dem das Zertifikat schließlich gepaart wird, oder der entsprechende private Schlüssel wird im Rahmen des CSR-Erstellungsprozesses generiert.

Was wichtig ist, ist nicht so sehr der ursprüngliche Host, sondern dass der private Schlüssel und der resultierende öffentliche Schlüssel ein übereinstimmendes Paar sind.

63
user62491

kce ist absolut richtig, es muss absolut nicht auf demselben Computer ausgeführt werden, aber es muss über den entsprechenden privaten Schlüssel erfolgen.

Der einzige Grund, warum ich eine zweite Antwort poste, ist, dass niemand gesagt hat warum Sie möchten vielleicht so etwas tun. Nahezu jeder von mir generierte Schlüssel-/CSR-Satz wird von meinem Laptop oder Desktop aus erstellt. Anschließend wird der Schlüssel sicher auf den Server kopiert, auf dem das Zertifikat installiert wird, und der CSR wird an die Signaturagentur gesendet. Der Grund ist die Entropie: SSL-Zertifikate werden im Allgemeinen zum Sichern von Servern verwendet, und Server verfügen häufig über sehr flache Entropiepools, wodurch entweder die von ihnen erstellten Schlüsselpaare geschwächt werden oder die Erstellung lange dauert. Desktops hingegen haben eine nützliche Zufallsquelle, die über Tastatur-/Mauskabel verbunden ist, und weisen daher tendenziell tiefe Entropiepools auf. Sie sind daher viel bessere Plattformen für Operationen, die hochwertige Zufallszahlen erfordern, wobei die Schlüsselpaargenerierung ein solcher Zweck ist.

Der Schlüssel/CSR kann also nicht nur außerhalb des Servers generiert werden, sondern ich finde, dass es häufig einen guten Grund dafür gibt.

28
MadHatter