Kann ein Zertifikat ohne CSR und einen alten privaten Schlüssel ausgestellt werden?

Question

Ich bin verwirrt über etwas im SSL -Erneuerungsprozess mit WHM/CPANEL für ein vorhandenes Comodo Extended Validations Cert.

Wir wurden von Comodo ein Ersatzzertifikat ausgestellt, ohne dass jeder ein CSR für sie einreicht. Ich sage "Ich glaube", weil es 3 Personen mit Zugriff auf WHM für diesen Server gibt, aber ich bin versichert, dass im letzten Jahr niemand mehr fummelte.

Klingt das möglich? Kann ein Zertifikat ohne CSR geliefert werden, wenn es ein Ersatz ist? Ich werde versuchen, Comodo zu erreichen, aber ein Wochenende zu sein und zu sehen, dass das alte Zertifikat an einem Tag ausgeht, dachte ich, ich würde den Stackhivemind konsultieren :)

Weitere Informationen: Als Test habe ich versucht, das neue Zertifikat zu installieren und den vorhandenen privaten Schlüssel zu „abrufen“. Wenn ich jedoch versuche zu senden, dass ich den folgenden Fehler erhalte:SSL -Installation aufgrund von Fehlern abgebrochen: Modul -Missverhältnis, die Schlüsseldatei stimmt nicht überein. Bitte verwenden Sie die richtige Schlüsseldatei

Answer 1

In einigen Fällen können Sie. Angenommen, Sie haben einen RSA -privaten Schlüssel im PEM -Format, wodurch der öffentliche Schlüssel extrahiert wird (es wird kein Zertifikat generieren):

openssl rsa -in key.pem -pubout -out pubkey.pem

Dadurch wird ein neues CSR mit dem öffentlichen Schlüssel erstellt, der aus der privaten Schlüsseldatei erhalten wird.

openssl req -new -key key.pem -out host.csr

Beachten Sie, dass ein CA streng genommen nicht der Fall ist brauchen Sie können ein CSR einreichen, um ein Zertifikat auszugeben. Alles, was es braucht, ist der öffentliche Schlüssel (auf den es über Ihr bestehendes Zertifikat zugreifen wird). Es könnte möglicherweise jeden Subjekt DN und Attribut beibringen und als Zertifikat ausstellen, ohne dass Sie sich in Verbindung setzen müssen. Natürlich mögen solche Praktiken mit ihrer Richtlinien unvereinbar sein, aber technisch ist dies möglich. Das CSR ist lediglich ein bequemes Format für Sie, um einen öffentlichen Schlüssel zu senden, um ein Zertifikat anzufordern und den Namen und die Attribute zu senden, die Sie möchten (die Sie alle zusammenschreiben).

SSL -Installation aufgrund von Fehlern abgebrochen: Modul -Missverhältnis, die Schlüsseldatei stimmt nicht überein. Bitte verwenden Sie die richtige Schlüsseldatei

Vorausgesetzt, Sie haben die Zertifikatoperationen ordnungsgemäß durchgeführt, kann dies darauf hinweisen, dass das neue von Ihnen ausgestellte neue Zertifikat gegen einen anderen Schlüsselpaar als Ihr ausgestellt wurde. Dies könnte auf ein Foulspiel hinweisen, da jemand anderes ein CSR mit einem eigenen Schlüsselpaar hätte ausstellen können und dieses Zertifikat an sie ausgestellt haben (was möglicherweise besorgniserregend ist, da Sie auch von einem EV-Zertifikat sprechen, das haben soll, das sollen Zusätzliche Schutzmaßnahmen dagegen.)

Ich würde empfehlen, bei Ihren Kollegen nachzuchecken, wenn irgendwelche ein neues Zertifikat angefordert haben oder sich an Ihre CA haben, um herauszufinden, warum Sie ein neues Zertifikat erhalten haben. Die Erneuerung des Zertifikats mithilfe des vorherigen öffentlichen Schlüssels kann Teil seines bestehenden Pakets sein. Wenn es denselben öffentlichen Schlüssel verwendet, ist es kein Problem, obwohl es bessere Praxis ist, das Schlüsselmaterial zu ändern, dh ein CSR eingereicht wird, der von einem neuen Schlüsselpaar stammt, wenn ein Zertifikat verlängert wird.