Generowanie CSR dla serwera Windows 2008 R2 i należy upewnić się, że klucz prywatny użyty do CSR jest nowy.
Używałem wcześniej OpenSSL do tworzenia własnych samopodpisanych certyfikatów do testowania i jeśli dobrze pamiętam, byłem w stanie określić klucz prywatny do użycia.
W certyfikatach serwera IIS nigdy nie jestem proszony o wygenerowanie lub wybranie klucza prywatnego.
Czy generowanie CSR na serwerze z systemem Windows zawsze tworzy dla niego nowy klucz prywatny? Jeśli nie, w jaki sposób mogę zapewnić, że nowy klucz prywatny zostanie utworzony / użyty?
windows-server-2008-r2
ssl
iis-7.5
private-key
csr
jzimmerman2011
źródło
źródło
Odpowiedzi:
tak
Kreator „Utwórz żądanie certyfikatu” automatycznie generuje nową parę kluczy.
To w rzeczywistości nie jest prawdą - czarodziej po prostu nie jest w tym zbyt oczywisty.
Po wprowadzeniu informacji o tożsamości (nazwa zwyczajowa, miejscowość, organizacja itp.) I naciśnięciu przycisku „Dalej” na drugim ekranie zostaną wyświetlone 2 pytania:
Wybór domyślnego CSP - Microsoft RSA SChannel CSP - i długość bitu 2048 byłaby odpowiednikiem systemu Windows:
Anatomia wniosku o podpisanie
Sam CSR można uznać za składający się z 3 „części”:
Emitent sprawdza informacje zawarte we wniosku o podpisanie i może zmienić treść zarówno (1), jak i (3).
Następnie Emitent używa swojego prywatnego klucza CA do szyfrowania klucza publicznego żądającego (2).
Wydane końcowe świadectwo zawiera:
Teraz, gdy następnym razem klient dostanie twój certyfikat, może użyć klucza publicznego wystawcy CA do odszyfrowania obiektu blob podpisu (4) i porównania go z kluczem publicznym w certyfikacie
źródło