Должны ли CSR генерироваться на сервере, на котором будет размещаться сертификат SSL?

54

Необходимо ли создавать CSR (запрос на подпись сертификата) на том же компьютере, на котором будет размещаться мое веб-приложение и сертификат SSL?

На этой странице по SSL Shopper сказано так, но я не уверен, правда ли это, потому что это означало бы, что мне придется покупать отдельный сертификат SSL для каждого сервера в моем кластере.

Что такое КСО? Запрос CSR или подписи сертификата - это блок зашифрованного текста, который генерируется на сервере, на котором будет использоваться сертификат.

Майк М. Лин
источник
1
Вы путаете разные значения слова "сервер". Когда вы говорите «каждый сервер в моем кластере», под «сервером» вы подразумеваете физический блок. Когда они говорят «на сервере , на котором будет использоваться сертификат», они имеют в виду то, что предоставляет услугу, будь то физическая коробка или нет. (Когда вы генерируете CSR, прежде чем отправлять его в CA, убедитесь, что вы точно знаете, где находится соответствующий закрытый ключ. Сертификат будет бесполезен без него.)
David Schwartz

Ответы:

61

Нет. Нет необходимости создавать CSR на машине, на которой вы хотите разместить полученный сертификат. CSR делает необходимость вырабатываться либо используя существующий закрытый ключ, сертификат будет в конечном счете , в паре с или его соответствие закрытый ключ генерируется как часть процесса создания CSR.

Важным является не столько исходный хост, сколько закрытый ключ и открытый открытый ключ.


источник
8
И этот закрытый ключ остается закрытым . Не просто копируйте его везде, а затем отправьте его по электронной почте своему другу и попросите его сгенерировать CSR для вас.
Ладададада
4
Фактором, который ограничивает использование ключа + сертификата на конкретном компьютере, является DNS (имя хоста должно совпадать с полем cn или SubjectAltName ), а также уникальность. Мало того, что использование одного и того же закрытого ключа с несколькими серверами создает профиль более высокого риска, но иногда программное обеспечение может обнаружить, что несколько хостов используют один и тот же серийный номер. (по уважительной причине)
Эндрю Б
(также, я согласен с ответом, я должен был сформулировать это как «имя хоста, воспринимаемое клиентом»)
Эндрю Б
26

kce абсолютно прав, это совершенно не обязательно делать на той же машине, но это нужно делать с помощью соответствующего закрытого ключа.

Единственная причина, по которой я публикую второй ответ, заключается в том, что никто не сказал, почему вы можете захотеть сделать такую ​​вещь. Почти каждый набор ключей / CSR, который я генерирую, выполняется с моего ноутбука или настольного компьютера, затем ключ надежно копируется на сервер, где будет установлен сертификат, и CSR отправляется подписывающему агентству. Причина в энтропии: SSL-сертификаты, как правило, используются для защиты серверов, а серверы часто имеют очень мелкие пулы энтропии, которые либо ослабляют создаваемые ими пары ключей, либо создают длительное время. Рабочие столы, с другой стороны, имеют полезный источник случайности, связанный с помощью кабелей клавиатуры / мыши, и, таким образом, имеют тенденцию иметь глубокие пулы энтропии. Поэтому они делают намного лучшие платформы для операций, которые требуют высококачественных случайных чисел, одним из которых является генерация пар ключей.

Так что не только ключ / CSR может быть сгенерирован вне сервера, но я нахожу, что часто есть веская причина для этого.

Безумный Шляпник
источник
2
Я считаю, что человеческий риск больше, чем риск энтропии. Настольные компьютеры также имеют множество собственных рисков в зависимости от операционной системы и политики управления активами, не говоря уже о практике администраторов. (секторы жесткого диска измельчаются перед удалением, если это незашифрованный закрытый ключ? Есть ли риск, что пользователь подвергнется риску раскрытия ключа?) PKI - это одна из тех вещей, которые я не доверяю многим людям, чтобы понять из конца в конец Не обращайте внимания на элемент человеческой ошибки, поэтому я подвергаю сомнению утверждение о том, что «это часто является веской причиной для этого». В остальном интересный момент.
Андрей Б
Это все разумные вопросы, особенно если их превратить в список лучших практик для генерации пар ключей. Для тех , кто хочет принять это действительно серьезно, есть некоторые отличные предложения на serverfault.com/questions/307896/... - речь идет о генерации и обработки CA, но многие из этих идей также могут быть приняты для передовой практики в паре ключей поколение.
MadHatter
Это справедливо, спасибо. Я просто чувствовал, что должен быть какой-то отказ от ответственности, так как это опасно для рядовых администраторов, которые не понимают рисков, связанных с этим, чтобы интерпретировать это как заявление о наилучшей практике. Если ключ можно украсть, игра окончена.
Андрей Б