un certificat peut être délivré sans CSR et en utilisant ancienne clé privée

Question

Je suis confus au sujet de quelque chose dans le processus de renouvellement SSL à l'aide WHM / cPanel pour un cert Comodo existant Extended Validation.

Nous avons reçu un certificat de remplacement par Comodo sans - je crois - tout soumettre un CSR pour eux. Je dis « je crois » parce qu'il ya 3 personnes avec accès à WHM pour ce serveur, mais je suis assuré que personne n'a tripotage l'année dernière.

Est-ce son possible? CAN un cert être fourni sans CSR si elle est un remplacement? Je vais essayer de mettre la main sur Comodo mais être un week-end, et voyant que le vieux cert court dans un jour où je pensais que je consulte le stackHiveMind:)

Plus d'infos: En tant que test, je l'ai essayé d'installer le nouveau cert et «chercher la clé privée existante, mais lorsque je tente de soumettre que je reçois l'erreur suivante: SSL avorté en raison d'installation a erreur: incompatibilité Modulus, fichier de clé ne correspond pas au certificat. S'il vous plaît utiliser le fichier clé correcte

Answer 1

Dans certains cas, oui, vous le pouvez. En supposant que vous avez une clé privée RSA au format PEM, ce extraira la clé publique (il ne sera pas générer un certificat):

openssl rsa -in key.pem -pubout -out pubkey.pem

Cela va créer une nouvelle RSE avec la clé publique, obtenu à partir du fichier de clé privée.

openssl req -new -key key.pem -out host.csr

Notez que, à proprement parler, une autorité de certification n'a pas besoin de soumettre un CSR à délivrer un certificat. Tout ce qu'il a besoin est la clé publique (auquel il aura accès par votre cert existant). Il pourrait joindre un sujet DN et attribut et délivrer un certificat sans qu'il soit nécessaire de vous contacter. Bien sûr, ces pratiques pourraient être incompatibles avec leurs politiques, mais techniquement, il est possible. La RSE est simplement un format pratique pour vous d'envoyer une clé publique pour demander un certificat, et soumettre le nom et vous souhaitez les attributs (que vous tous les signes ensemble).

SSL interrompu en raison d'install erreur: incompatibilité Modulus, fichier de clé ne fonctionne pas certificat match. S'il vous plaît utiliser le fichier clé correcte

Pourvu que vous avez fait les opérations de certificat correctement, cela pourrait indiquer que le nouveau certificat que vous avez été délivré a été émis contre une autre paire de clés que le vôtre. Cela pourrait indiquer jeu déloyal, parce que quelqu'un d'autre aurait pu émettre un CSR avec leur propre paire de clés et ont eu ce certificat délivré à eux (ce qui pourrait être inquiétant tout à fait, puisque vous parlez d'un EV cert aussi, qui est censé avoir protections supplémentaires contre.)

Je suggère de vérifier avec vos collègues le cas échéant ont demandé un nouveau certificat ou contacter votre CA pour savoir pourquoi vous avez reçu un nouveau certificat. Le renouvellement du certificat à l'aide de la clé publique précédente pourrait faire partie de leur package existant. S'il utilise la même clé publique, ce n'est pas un problème, mais il est préférable de la pratique de changer le matériel clé, à savoir soumettre un CSR provenant d'une nouvelle paire de clés, lors du renouvellement d'un certificat.