Os CSRs devem ser gerados no servidor que hospedará o certificado SSL?

54

É necessário gerar o CSR (Certificate Signing Request) na mesma máquina que hospedará meu aplicativo Web e certificado SSL?

Esta página do SSL Shopper diz isso, mas não tenho certeza se isso é verdade, porque isso significaria que eu precisaria comprar um certificado SSL separado para cada servidor no meu cluster.

O que é um CSR? Uma solicitação de assinatura de certificado ou CSR é um bloco de texto criptografado gerado no servidor em que o certificado será usado.

ssl ssl-certificate csr

— Mike M. Lin
fonte

11

Você está confundindo significados diferentes da palavra "servidor". Quando você diz "cada servidor no meu cluster", por "servidor", você quer dizer uma caixa física. Quando dizem "no servidor em que o certificado será usado", significam algo que fornece um serviço, seja uma caixa física ou não. (Quando você gerar um CSR, antes de enviá-lo para uma CA, fazer 100% de certeza que você sabe precisamente onde a chave privada correspondente é O certificado será inútil sem ele..)

— David Schwartz

61

Não. Não é necessário gerar o CSR na máquina em que você deseja hospedar o certificado resultante. A CSR faz necessidade de ser gerado utilizando a chave privada existente que o certificado será, eventualmente, emparelhado com ou seu correspondente chave privada é gerado como parte do processo de criação do CSR.

O importante não é tanto o host de origem, mas a chave privada e a chave pública resultante são um par correspondente.

8

E que a chave privada permanece privada . Não basta copiá-lo em todos os lugares e enviá-lo por e-mail ao seu parceiro e pedir para ele gerar o csr para você.

— Ladadadada

4

O fator que limita a chave + cert ao uso com uma máquina específica é o DNS (o nome do host precisa corresponder ao campo cn ou SubjectAltName ), além da exclusividade. Não apenas o uso da mesma chave privada com vários servidores cria um perfil de maior risco, como o software ocasionalmente surta, detectando vários hosts usando o mesmo número de série. (com razão)

— Andrew B

(também, eu estou concordando com a resposta, eu deveria ter redigido que, como "hostname percebida-client")

— Andrew B

26

O kce está absolutamente certo, absolutamente não precisa ser feito na mesma máquina, mas precisa ser feito a partir da chave privada relevante.

A única razão pela qual estou postando uma segunda resposta é porque ninguém disse por que você pode querer fazer uma coisa dessas. Quase todos os conjuntos de chaves / CSR que eu gero são executados no meu laptop ou desktop, depois a chave é copiada com segurança no servidor em que o certificado será instalado e o CSR é enviado à agência de assinatura. O motivo é a entropia: os certificados SSL geralmente são usados para proteger servidores, e os servidores geralmente têm conjuntos de entropia muito rasos, o que enfraquece os pares de chaves que eles criam ou torna a criação demorada. Os desktops, por outro lado, têm uma fonte útil de aleatoriedade conectada via cabos de teclado / mouse e, portanto, tendem a ter pools de entropia profunda. Portanto, eles criam plataformas muito melhores para operações que exigem números aleatórios de alta qualidade, sendo a geração de pares de chaves uma delas.

Portanto, não apenas a chave / CSR pode ser gerada fora do servidor, mas acho que frequentemente há um bom motivo para isso.

— Chapeleiro Louco
fonte

2

Eu vejo o risco humano como maior que o risco de entropia. Os computadores de mesa também têm muitos riscos, dependendo da política de gerenciamento de sistemas operacionais e ativos, não importando com as práticas dos administradores envolvidos. (os setores de disco rígido estão sendo fragmentados antes da exclusão, se for uma chave privada não criptografada? a prática do usuário corre o risco de expor a chave?) A PKI é uma daquelas coisas que eu não confio que muitas pessoas entendam de ponta a ponta , esqueça o elemento de erro humano, por isso questiono a afirmação de que "frequentemente é uma boa razão para fazê-lo". Caso contrário, um ponto interessante.

— Andrew B

Essas são perguntas razoáveis, especialmente se forem transformadas em uma lista de práticas recomendadas para a geração de pares de chaves. Para aqueles que querem levar isso muito a sério, existem algumas sugestões excelentes em serverfault.com/questions/307896/… - a pergunta é sobre geração e manipulação de CA, mas muitas dessas idéias também podem ser adotadas para as melhores práticas em pares de chaves geração.

— MadHatter

Isso é justo agora, obrigado. Apenas senti que precisava haver algum tipo de isenção de responsabilidade, pois é perigoso para os administradores de classificação e arquivo que não entendem os riscos envolvidos para interpretar isso como uma declaração de práticas recomendadas. Se a chave pode ser roubada, o jogo acaba.

— Andrew B