Haruskah CSR dihasilkan di server yang akan meng-host sertifikat SSL?

54

Apakah perlu untuk menghasilkan CSR (Certificate Signing Request) pada mesin yang sama yang akan meng-host aplikasi web saya dan sertifikat SSL?

Halaman ini pada SSL Shopper mengatakan demikian, tetapi saya tidak yakin apakah itu benar, karena itu berarti saya harus membeli sertifikat SSL terpisah untuk setiap server di kluster saya.

Apa itu CSR? Permintaan Penandatanganan Sertifikat atau CSR adalah blok teks terenkripsi yang dibuat di server tempat sertifikat itu akan digunakan.

ssl ssl-certificate csr

— Mike M. Lin
sumber

1

Anda mengacaukan arti berbeda dari kata "server". Ketika Anda mengatakan "setiap server di kluster saya", dengan "server" yang Anda maksud adalah kotak fisik. Ketika mereka mengatakan "pada server di mana sertifikat akan digunakan", mereka berarti sesuatu yang menyediakan layanan, apakah itu kotak fisik atau tidak. (Ketika Anda menghasilkan CSR, sebelum mengirimnya ke CA, pastikan 100% Anda tahu persis di mana kunci privat terkait. Sertifikat tidak akan berguna tanpanya.)

— David Schwartz

61

Tidak. Anda tidak perlu membuat CSR di mesin yang Anda inginkan untuk meng-host sertifikat yang dihasilkan. CSR tidak perlu dihasilkan baik menggunakan kunci pribadi yang ada bahwa sertifikat tersebut akan akhirnya berpasangan dengan atau pencocokan kunci pribadi dihasilkan sebagai bagian dari proses pembuatan CSR.

Yang penting bukanlah tuan rumah asal tetapi kunci privat dan kunci publik yang dihasilkan adalah pasangan yang cocok.

8

Dan kunci pribadi tetap pribadi . Jangan hanya menyalinnya di mana-mana dan kemudian mengirimkannya ke teman Anda dan memintanya untuk membuat csr untuk Anda.

— Ladadadada

4

Faktor yang membatasi kunci + cert untuk penggunaan dengan mesin tertentu adalah DNS (nama host harus cocok dengan cn atau bidang SubjectAltName ), serta keunikan. Tidak hanya menggunakan kunci pribadi yang sama dengan beberapa server membuat profil risiko yang lebih tinggi, tetapi perangkat lunak juga akan secara aneh mendeteksi beberapa host menggunakan nomor seri yang sama. (dengan alasan yang bagus)

— Andrew B

(juga, saya setuju dengan jawabannya, saya seharusnya mengatakan itu sebagai "nama host yang dirasakan klien")

— Andrew B

26

kce benar, itu benar-benar tidak perlu dilakukan pada mesin yang sama, tetapi itu harus dilakukan dari kunci privat yang relevan.

Satu-satunya alasan saya memposting jawaban kedua adalah karena tidak ada yang mengatakan mengapa Anda ingin melakukan hal seperti itu. Hampir setiap kunci / set CSR yang saya hasilkan dilakukan dari laptop atau desktop saya, kemudian kunci tersebut disalin dengan aman ke server tempat sertifikat akan diinstal, dan CSR dikirim ke agen penandatanganan. Alasannya adalah entropi: Sertifikat SSL umumnya digunakan untuk mengamankan server, dan server seringkali memiliki kumpulan entropi yang sangat dangkal, yang melemahkan keypairs yang mereka buat atau membuat kreasi membutuhkan waktu lama. Desktop, di sisi lain, memiliki sumber keacakan yang berguna terhubung melalui kabel keyboard / mouse, dan karenanya cenderung memiliki kolam entropi yang dalam. Karena itu mereka membuat platform yang jauh lebih baik untuk operasi yang membutuhkan angka acak berkualitas tinggi, sehingga generasi keypair menjadi seperti itu.

Jadi bukan hanya kunci / CSR dapat dihasilkan di luar server, tapi saya juga menemukan alasan yang bagus untuk melakukannya.

— MadHatter
sumber

2

Saya melihat risiko manusia lebih besar daripada risiko entropi. Desktop juga memiliki sejumlah besar risikonya sendiri tergantung pada OS dan kebijakan manajemen aset, tidak pernah melupakan praktik para administrator yang terlibat. (Apakah sektor hard drive dihancurkan sebelum dihapus jika itu adalah kunci privat yang tidak dienkripsi? apakah praktik pengguna pernah berisiko mengambil kunci?) PKI adalah salah satu hal yang saya tidak percaya banyak orang untuk mengerti dari ujung ke ujung , Nevermind elemen kesalahan manusia, jadi saya mempertanyakan pernyataan ada "sering alasan yang baik untuk melakukannya". Kalau tidak, poin yang menarik.

— Andrew B

Itu semua adalah pertanyaan yang masuk akal, terutama jika diubah menjadi daftar praktik terbaik untuk generasi keypair. Bagi mereka yang ingin mengambil ini dengan sangat serius, ada beberapa saran bagus di serverfault.com/questions/307896/… - pertanyaannya adalah tentang pembuatan dan penanganan CA, tetapi banyak dari gagasan itu juga dapat diadopsi untuk praktik terbaik dalam keypair generasi.

— MadHatter

Itu adil sekarang, terima kasih. Saya hanya merasa perlu ada semacam penafian, karena berbahaya bagi admin peringkat yang tidak memahami risiko yang terlibat untuk menafsirkannya sebagai pernyataan praktik terbaik. Jika kuncinya bisa dicuri, game sudah berakhir.

— Andrew B