¿Cómo generan las CA las claves públicas sin las claves privadas?

Navega tus respuestas
4

Al crear una CSR para que luego pueda pegarla en una CA para generar un certificado TLS firmado, primero debe generar una clave privada: 

openssl genrsa -out your-key.key 2048

Con la clave privada, puede generar la CSR: 

openssl req -new -key your-key.key -out your-request.csr

Si desea extraer la clave pública de la CSR, todos los ejemplos que he visto requieren que la clave privada esté presente en el comando openssl : 

openssl x509 -req -days 365 -in your-request.csr -signkey your-key.key -out your-public-key.crt

Asumo que las entidades emisoras de certificados hacen algo similar para firmar los certificados y, por lo tanto, crean una clave pública. Sin embargo, al rellenar el formulario de solicitud, solo se le solicita la CSR, no la clave privada.

Mi pregunta es: ¿cómo lo hacen para crear el certificado público del CRT sin tener la clave privada?

    
pregunta nKn 07.02.2017 - 23:02
fuente

1 respuesta

9
  

¿Cómo generan las CA las claves públicas sin la clave privada?

Las CA no generan ninguna clave pública. Crean certificados que contienen la clave pública de la parte solicitante (de la CSR).

La clave privada no es necesaria para extraer una clave pública de la CSR. Para hacerlo ejecute: 

openssl req -in your-request.csr -noout -pubkey

Por otra parte, el comando que incluyó en la pregunta (afirmando que su propósito es " extraer la clave pública de la CSR "): 

openssl x509 -req -days 365 -in your-request.csr -signkey your-key.key -out your-public-key.crt

crea un certificado autofirmado.

CA firma el certificado con su clave privada, no con la suya, por lo que no necesitan la suya.

El rol de la CA es proporcionar una prueba de que una clave pública pertenece a la entidad que afirma que pertenece.

CA podría necesitar verificar el dominio del solicitante (certificados validados por el dominio), podría necesitar verificar los documentos del solicitante que demuestre su identidad

Pero CA no necesita verificar la clave privada del solicitante porque está vinculada matemáticamente con la clave pública. Si alguien cifra el mensaje con su clave privada, solo se podrá descifrar con la clave pública correspondiente.

    
respondido por el techraf 08.02.2017 - 00:26
fuente

Lea otras preguntas en las etiquetas

¿Qué sucede cuando la clave secreta de la API es robada y utilizada por otros? ¿Qué hay de malo con el intercambio físico de certificados en lugar de un protocolo de enlace?