Czy konieczne jest wygenerowanie CSR (Żądanie podpisania certyfikatu) na tym samym komputerze, który będzie hostował moją aplikację internetową i certyfikat SSL?
Ta strona w SSL Shopper tak mówi, ale nie jestem pewien, czy to prawda, ponieważ oznaczałoby to, że musiałbym kupić osobny certyfikat SSL dla każdego serwera w moim klastrze.
Co to jest CSR? Żądanie CSR lub podpisania certyfikatu to blok zaszyfrowanego tekstu generowanego na serwerze, na którym będzie używany certyfikat.
ssl
ssl-certificate
csr
Mike M. Lin
źródło
źródło
Odpowiedzi:
Nie. Nie jest konieczne generowanie CSR na komputerze, na którym chcesz hostować wynikowy certyfikat. CSR nie muszą być generowane albo za pomocą istniejącego klucza prywatnego, że certyfikat zostanie ostatecznie sparowany z lub jego dopasowanie klucz prywatny jest generowany jako część procesu tworzenia CSR.
Ważne jest nie tyle host źródłowy, ile klucz prywatny i wynikowy klucz publiczny to pasująca para.
źródło
Kce ma rację, absolutnie nie trzeba tego robić na tym samym komputerze, ale trzeba to zrobić z odpowiedniego klucza prywatnego.
Jedynym powodem, dla którego wysyłam drugą odpowiedź, jest to, że nikt nie powiedział, dlaczego możesz chcieć zrobić coś takiego. Prawie każdy zestaw klucza / CSR, który generuję, jest wykonywany z mojego laptopa lub komputera stacjonarnego, następnie klucz jest bezpiecznie kopiowany na serwer, na którym certyfikat zostanie zainstalowany, a CSR jest wysyłany do agencji podpisującej. Powodem jest entropia: certyfikaty SSL są zwykle używane do zabezpieczania serwerów, a serwery często mają bardzo płytkie pule entropii, co albo osłabia tworzone przez siebie pary kluczy, albo powoduje, że tworzenie zajmuje dużo czasu. Z drugiej strony komputery stacjonarne mają użyteczne źródło losowości połączone kablami klawiatury / myszy, a zatem mają głębokie pule entropii. Tworzą zatem znacznie lepsze platformy dla operacji wymagających wysokiej jakości liczb losowych, z których jednym jest generowanie pary kluczy.
Tak więc klucz / CSR można nie tylko generować poza serwerem, ale uważam, że często jest to dobry powód.
źródło