kce đã chết đúng, nó hoàn toàn không cần phải được thực hiện trên cùng một máy, nhưng nó cần phải được thực hiện từ khóa riêng có liên quan.
Lý do duy nhất tôi đăng câu trả lời thứ hai là vì không ai nói lý do tại sao bạn có thể muốn làm một việc như vậy. Gần như mọi khóa / bộ CSR mà tôi tạo được thực hiện từ máy tính xách tay hoặc máy tính để bàn của tôi, sau đó khóa được sao chép an toàn vào máy chủ nơi chứng chỉ sẽ được cài đặt và CSR được gửi đến cơ quan ký. Lý do là entropy: Chứng chỉ SSL thường được sử dụng để bảo mật máy chủ và máy chủ thường có các nhóm entropy rất nông, làm suy yếu các khóa bàn phím mà chúng tạo ra hoặc khiến việc tạo ra mất nhiều thời gian. Mặt khác, máy tính để bàn có một nguồn ngẫu nhiên hữu ích được kết nối thông qua cáp bàn phím / chuột và do đó có xu hướng có các bể entropy sâu. Do đó, họ tạo ra các nền tảng tốt hơn nhiều cho các hoạt động đòi hỏi số ngẫu nhiên chất lượng cao, thế hệ khóa là một trong số đó.
Vì vậy, không chỉ khóa / CSR có thể được tạo ngoài máy chủ, mà tôi thấy thường xuyên có một lý do chính đáng để làm như vậy.