Việc tạo CSR thông qua IIS 7.5 trên Windows Server 2008 R2 có luôn tạo khóa riêng mới không?

11

Tạo CSR cho máy chủ Windows 2008 R2 và cần đảm bảo rằng khóa riêng được sử dụng cho CSR là mới.

Tôi đã sử dụng OpenSSL trước đây để tạo các certs tự ký để thử nghiệm và nếu tôi nhớ chính xác, tôi có thể chỉ định một khóa riêng để sử dụng.

Trong chứng chỉ máy chủ IIS, tôi không bao giờ được yêu cầu tạo hay chọn khóa riêng.

Vì vậy, việc tạo CSR trên máy chủ chạy Windows có luôn tạo khóa riêng mới cho nó không? Nếu không, làm cách nào để đảm bảo khóa riêng mới được tạo / sử dụng?

windows-server-2008-r2  ssl  iis-7.5  private-key  csr 
jzimmerman2011
nguồn
1
Ý bạn là khóa riêng ?
EEAA
1
Vâng, cảm ơn, chỉnh sửa ngay bây giờ. Tôi là một nhà phát triển trước một sysadmin, vì vậy khóa chính xuất hiện trong đầu tôi trước. :)
jzimmerman2011
Tạo CSR, hoặc tạo chứng chỉ? Cái gì, chính xác là bạn đang làm, và bạn đang làm nó như thế nào? (Nó tạo ra sự khác biệt.)
HoplessN00b
Tôi đang tạo một CSR sẽ được trao cho CA để tạo chứng chỉ. Điều này đang được thực hiện thông qua IIS và đó là giao diện Chứng chỉ máy chủ.
jzimmerman2011

Câu trả lời:

8

Đúng

Thuật sĩ "Tạo yêu cầu chứng chỉ" tự động tạo một cặp khóa mới.

Trong chứng chỉ máy chủ IIS, tôi không bao giờ được yêu cầu tạo hay chọn khóa riêng.

Điều này thực sự không đúng - thuật sĩ chỉ không quá rõ ràng về nó.

Khi bạn đã nhập thông tin danh tính (Tên chung, Địa phương, Tổ chức, v.v.) và nhấn "Tiếp theo", màn hình thứ hai sẽ hỏi 2 điều:

  1. Nhà cung cấp dịch vụ mật mã (CSP)
  2. Độ dài bit

nhập mô tả hình ảnh ở đây

Chọn CSP mặc định - Microsoft RSA SChannel CSP - và Độ dài bit 2048 sẽ tương đương với Windows:

openssl req -new -newkey rsa:2048

Cấu tạo của một yêu cầu ký

Bản thân CSR có thể được coi là có 3 "phần":

  1. Thông tin nhận dạng trong văn bản rõ ràng (CN, Địa phương, Org. V.v.)
    • Đây chỉ đơn giản là chuỗi, người ký (CA) có thể thay đổi những người tùy ý
  2. Khóa công khai
    • Bạn sẽ cần khóa riêng tương ứng trên máy chủ của bạn
  3. Các trường mở rộng tùy chọn
    • Vẫn chỉ là thông tin văn bản rõ ràng

Nhà phát hành xem xét thông tin trong yêu cầu ký, có thể thay đổi nội dung của cả (1) và (3).
Nhà phát hành sau đó sử dụng khóa riêng CA của nó để mã hóa khóa chung của người yêu cầu (2).

Khi Giấy chứng nhận cuối cùng được cấp, nó chứa:

  1. Thông tin nhận dạng trong văn bản rõ ràng (CN, Địa phương, Org. V.v.)
    • Bây giờ với thông tin nhà phát hành được thêm vào
  2. Khóa công khai
    • Vẫn như trên
  3. Các trường mở rộng tùy chọn
    • Bây giờ có thể với các trường mở rộng của nhà phát hành
  4. Một chữ ký blob
    • Đây là Khóa chung được ký với khóa riêng của CA

Bây giờ, lần sau khi khách hàng nhận được chứng chỉ của bạn, họ có thể sử dụng khóa chung của CA của tổ chức phát hành để giải mã blob chữ ký (4) và so sánh với khóa chung trong chứng chỉ

Mathias R. Jessen
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.