¿Se puede emitir un certificado sin una CSR y usar una llave privada antigua?

Question

Estoy confundido sobre algo en el proceso de renovación SSL utilizando WHM/CPANEL para un certificado de validación extendida Comodo existente.

Comodo nos ha emitido un certificado de reemplazo sin, creo, cada uno que envíe una RSE para ellos. Digo "creo" porque hay 3 personas con acceso a WHM para este servidor, pero estoy seguro de que nadie ha estado jugando en el último año.

¿Suena esto posible? ¿Se puede suministrar un certificado sin una CSR si es un reemplazo? Intentaré conseguir Comodo pero ser un fin de semana, y ver que el viejo certificado se acaba en un día que pensé en consultar el Stackhivemind :)

Más información: Como prueba, he intentado instalar el nuevo certificado y 'buscar' la clave privada existente, pero cuando intento enviar que recibo el siguiente error:Instalación SSL abortada debido al error: Modulus Mismatch, el archivo clave no coincide con el certificado. Utilice el archivo clave correcto

Answer 1

En algunos casos, sí, puedes. Suponiendo que tenga una clave privada RSA en formato PEM, esto extraerá la clave pública (no generará un certificado):

openssl rsa -in key.pem -pubout -out pubkey.pem

Esto creará una nueva CSR con la clave pública, obtenida del archivo de clave privada.

openssl req -new -key key.pem -out host.csr

Tenga en cuenta que, estrictamente hablando, una CA no necesitar Usted envía una CSR para emitir un certificado. Todo lo que necesita es la clave pública (a la que tendrá acceso a través de su certificado existente). Potencialmente podría adjuntar cualquier asignatura DN y atributo y emitirlo como un certificado sin necesidad de contactarlo. Por supuesto, tales prácticas pueden ser incompatibles con sus políticas, pero técnicamente, es posible. El CSR es simplemente un formato conveniente para que envíe una clave pública para solicitar un certificado y envíe el nombre y los atributos que le gustaría (que todos firmen).

Instalación SSL abortada debido al error: Modulus Mismatch, el archivo clave no coincide con el certificado. Utilice el archivo clave correcto

Siempre que haya realizado las operaciones de certificado correctamente, esto podría indicar que el nuevo certificado que ha emitido se ha emitido contra un par de claves diferente al suyo. Esto podría indicar un juego sucio, porque alguien más podría haber emitido una RSE con su propio par de claves y haberlo emitido este certificado (lo que podría ser bastante preocupante ya que también está hablando de un certificado de EV, lo que se supone que debe tener Protecciones adicionales contra esto.)

Sugeriría consultar con sus colegas si alguno ha solicitado un nuevo certificado o contactar a su CA para averiguar por qué ha recibido un nuevo certificado. Renovar el certificado utilizando la clave pública anterior podría ser parte de su paquete existente. Si está usando la misma clave pública, no es un problema, aunque es una mejor práctica cambiar el material clave, es decir, enviar una CSR que proviene de un nuevo par de claves, al renovar un certificado.