Необходимо ли создавать CSR (запрос на подпись сертификата) на том же компьютере, на котором будет размещаться мое веб-приложение и сертификат SSL?
На этой странице по SSL Shopper сказано так, но я не уверен, правда ли это, потому что это означало бы, что мне придется покупать отдельный сертификат SSL для каждого сервера в моем кластере.
Что такое КСО? Запрос CSR или подписи сертификата - это блок зашифрованного текста, который генерируется на сервере, на котором будет использоваться сертификат.
ssl
ssl-certificate
csr
Майк М. Лин
источник
источник
Ответы:
Нет. Нет необходимости создавать CSR на машине, на которой вы хотите разместить полученный сертификат. CSR делает необходимость вырабатываться либо используя существующий закрытый ключ, сертификат будет в конечном счете , в паре с или его соответствие закрытый ключ генерируется как часть процесса создания CSR.
Важным является не столько исходный хост, сколько закрытый ключ и открытый открытый ключ.
источник
kce абсолютно прав, это совершенно не обязательно делать на той же машине, но это нужно делать с помощью соответствующего закрытого ключа.
Единственная причина, по которой я публикую второй ответ, заключается в том, что никто не сказал, почему вы можете захотеть сделать такую вещь. Почти каждый набор ключей / CSR, который я генерирую, выполняется с моего ноутбука или настольного компьютера, затем ключ надежно копируется на сервер, где будет установлен сертификат, и CSR отправляется подписывающему агентству. Причина в энтропии: SSL-сертификаты, как правило, используются для защиты серверов, а серверы часто имеют очень мелкие пулы энтропии, которые либо ослабляют создаваемые ими пары ключей, либо создают длительное время. Рабочие столы, с другой стороны, имеют полезный источник случайности, связанный с помощью кабелей клавиатуры / мыши, и, таким образом, имеют тенденцию иметь глубокие пулы энтропии. Поэтому они делают намного лучшие платформы для операций, которые требуют высококачественных случайных чисел, одним из которых является генерация пар ключей.
Так что не только ключ / CSR может быть сгенерирован вне сервера, но я нахожу, что часто есть веская причина для этого.
источник