È possibile emettere un certificato senza CSR e utilizzare la vecchia chiave privata
https://stackoverflow.com/questions/9342814
-
27-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sono confuso su qualcosa nel processo di rinnovo SSL utilizzando WHM/CPanel per un certificato di convalida estesa Comodo esistente.
Ci è stato emesso un certificato di sostituzione da Comodo senza - credo - ogni presentazione di un CSR per loro. Dico "Credo" perché ci sono 3 persone con accesso a WHM per questo server, ma sono assicurato che nessuno è stato armeggiato nell'ultimo anno.
Questo suono è possibile? È possibile fornire un certificato senza CSR se si tratta di una sostituzione? Cercherò di prendere Comodo ma essere un fine settimana e vedere che il vecchio certificato si esaurisce in un giorno in cui ho pensato di consultare lo stackhivemind :)
Maggiori informazioni: come test, ho provato a installare il nuovo certificato e "recuperare" la chiave privata esistente, ma quando provo a inviare che ottengo il seguente errore:L'installazione SSL abortita a causa di un errore: mancata corrispondenza del modulo, il file chiave non corrisponde al certificato. Si prega di utilizzare il file chiave corretto
Soluzione
In alcuni casi, sì, puoi. Supponendo che tu abbia una chiave privata RSA in formato PEM, questo estraggerà la chiave pubblica (non genererà un certificato):
openssl rsa -in key.pem -pubout -out pubkey.pem
Ciò creerà un nuovo CSR con la chiave pubblica, ottenuta dal file della chiave privata.
openssl req -new -key key.pem -out host.csr
Nota che, a rigor di termini, una CA no bisogno Si può inviare un CSR per emettere un certificato. Tutto ciò di cui ha bisogno è la chiave pubblica (a cui avrà accesso tramite il certificato esistente). Potrebbe potenzialmente allegare qualsiasi DN e attributo in materia e emetterlo come certificato senza necessità di contattarti. Naturalmente tali pratiche potrebbero essere incompatibili con le loro politiche, ma tecnicamente è possibile. Il CSR è semplicemente un formato conveniente per inviare una chiave pubblica per richiedere un certificato e inviare il nome e gli attributi che desideri (che tutti firmate).
L'installazione SSL abortita a causa di un errore: mancata corrispondenza del modulo, il file chiave non corrisponde al certificato. Si prega di utilizzare il file chiave corretto
A condizione che tu abbia eseguito correttamente le operazioni del certificato, ciò potrebbe indicare che il nuovo certificato che sei stato emesso è stato emesso rispetto a una coppia chiave diversa rispetto al tuo. Ciò potrebbe indicare un fallo, perché qualcun altro avrebbe potuto emettere un CSR con la propria coppia chiave e aver avuto questo certificato emesso loro (il che potrebbe essere abbastanza preoccupante dal momento che stai parlando di un certificato EV, che dovrebbe avere Ulteriori protezioni contro questo.)
Suggerirei di controllare con i tuoi colleghi, se presenti hanno richiesto un nuovo certificato o contattare la CA per scoprire perché hai ricevuto un nuovo certificato. Il rinnovo del certificato utilizzando la chiave pubblica precedente potrebbe far parte del loro pacchetto esistente. Se sta usando la stessa chiave pubblica, non è un problema, anche se è meglio praticare cambiare il materiale chiave, vale a dire inviare un CSR proveniente da una nuova coppia chiave, quando si rinnova un certificato.
