CSRなしで、古い秘密鍵を使用せずに証明書を発行できますか

Question

既存のCOMODO拡張検証証明書にWHM/CPANELを使用して、SSL更新プロセスの何かについて混乱しています。

私たちは、COMODOなしで交換証明書を発行されました - 私は信じています - すべてが彼らのためにCSRを提出します。このサーバーにWHMにアクセスできる人が3人いるので、「私は信じています」と言いますが、昨年は誰もいじりませんでした。

これは可能ですか？ CSRが代替品である場合、CSRなしで証明書を提供できますか？私はコモドを手に入れようとしますが、週末であることを試みます。

詳細：テストとして、新しい証明書をインストールして既存の秘密鍵を「フェッチ」しようとしましたが、次のエラーが発生したことを提出しようとすると：エラーによるSSLインストールが中止されました：弾性率の不一致、キーファイルは証明書と一致しません。正しいキーファイルを使用してください

Answer 1

場合によっては、はい、できます。 PEM形式のRSA秘密キーがあると仮定すると、これにより公開キーが抽出されます（証明書は生成されません）。

openssl rsa -in key.pem -pubout -out pubkey.pem

これにより、秘密キーファイルから取得された公開キーを備えた新しいCSRが作成されます。

openssl req -new -key key.pem -out host.csr

厳密に言えば、CAはそうではないことに注意してください 必要 CSRを提出して証明書を発行します。必要なのは、公開鍵（既存の証明書を通じてアクセスできる）だけです。潜在的に、任意のサブジェクトDNおよび属性を添付して、連絡する必要なく証明書として発行する可能性があります。もちろん、そのような慣行は彼らのポリシーと両立しないかもしれませんが、技術的には可能です。 CSRは、公開鍵を送信して証明書を要求し、希望する名前と属性（すべて一緒に署名）を送信するための便利な形式にすぎません。

エラーによるSSLインストールが中止されました：弾性率の不一致、キーファイルは証明書と一致しません。正しいキーファイルを使用してください

証明書操作を適切に行った場合、これはあなたが発行した新しい証明書があなたのものとは異なるキーペアに対して発行されたことを示すことができます。これは、他の誰かが自分のキーペアでCSRを発行し、この証明書を発行した可能性があるため、ファウルプレイを示すことができます（これは、あなたもEV証明書について話しているので、かなり心配するかもしれません。これに対する追加の保護。）

新しい証明書を要求した場合、またはCAに連絡して新しい証明書を受け取った理由を確認するか、同僚に確認することをお勧めします。前の公開キーを使用して証明書を更新することは、既存のパッケージの一部である可能性があります。同じ公開キーを使用している場合、それは問題ではありませんが、キー資料を変更する方が良い習慣です。つまり、証明書を更新するときに新しいキーペアから来るCSRを提出します。