Iya
Wisaya "Buat Permintaan Sertifikat" secara otomatis menghasilkan pasangan kunci baru.
Dalam Sertifikat Server IIS, saya tidak pernah diminta untuk membuat atau memilih kunci pribadi.
Ini sebenarnya tidak benar - penyihir tidak begitu jelas tentang hal itu.
Ketika Anda telah memasukkan informasi identitas (Nama Umum, Lokalitas, Organisasi dll.) Dan tekan "Next", layar kedua menanyakan 2 hal:
- Penyedia Layanan Kriptografis (CSP)
- Panjang bit
Memilih CSP default - Microsoft RSA SChannel CSP - dan Panjang Bit 2048 akan menjadi setara dengan Windows untuk:
openssl req -new -newkey rsa:2048
Anatomi Permintaan Penandatanganan
CSR itu sendiri dapat dianggap memiliki 3 "bagian":
- Informasi identitas dalam teks yang jelas (CN, Lokalitas, Organisasi, dll.)
- Ini hanyalah string, penandatangan (CA) dapat mengubah mereka sesuka hati
- Kunci Publik
- Anda akan memerlukan kunci pribadi yang sesuai di server Anda
- Bidang ekstensi opsional
- Masih hanya menghapus informasi teks
Penerbit meninjau informasi dalam permintaan penandatanganan, dan dapat mengubah konten dari keduanya (1) dan (3).
Penerbit kemudian menggunakan CA private key untuk mengenkripsi kunci publik pemohon (2).
Ketika Sertifikat akhir dikeluarkan, itu berisi:
- Informasi identitas dalam teks yang jelas (CN, Lokalitas, Organisasi, dll.)
- Sekarang dengan informasi Penerbit ditambahkan
- Kunci Publik
- Masih sama seperti di atas
- Bidang ekstensi opsional
- Sekarang mungkin dengan bidang ekstensi Penerbit
- Gumpalan tanda tangan
- Ini adalah kunci Publik yang ditandatangani dengan kunci pribadi CA
Sekarang, saat berikutnya klien mendapatkan sertifikat Anda, ia dapat menggunakan kunci publik Penerbit CA untuk mendekripsi gumpalan tanda tangan (4) dan membandingkannya dengan kunci publik dalam sertifikat