Firma de certificado SSL por una CA

3

Según entiendo sobre SSL, un usuario debe enviar su CSR a un CA (Verisign) para que lo firmen y Verisign enviará el certificado de firma X.509 a cambio.

Lo que no entiendo es qué hace Verisign exactamente con el archivo CSR. En caso de que pierda el certificado x509 enviado por ellos, ¿podrán generar otro?

    
pregunta Novice User 10.06.2012 - 14:14
fuente

2 respuestas

5

Lo que Verisign hace, básicamente, es cifrar su certificado usando su clave privada y enviarle el resultado. El navegador del usuario contiene la clave pública de Verisign, por lo que puede verificar que su clave haya sido firmada por Verisign al descifrarla con esa clave pública.

Pueden reenviarte tu certificado con la frecuencia que desees (pueden o no elegir hacerlo comercialmente, pero no hay ninguna razón de seguridad por la que no deban hacerlo). Lo que no pueden volver a crear para usted es la clave privada que utilizó para generar el certificado y que debe estar instalada en todos sus servidores web. Si pierde eso, debe obtener un nuevo certificado empezando desde cero.

    
respondido por el Mike Scott 10.06.2012 - 14:25
fuente
3

Para obtener un certificado firmado, envía a la CA una C ertificate S igning R equest , que es algo así como un certificado incompleto. La CA genera un certificado para firmar, utilizando tanta o poca información de la CSR como la CA decide incluir, según las políticas de la CA, el tipo de certificado que compró, etc. El certificado generado siempre incluye la clave pública de la CSR, sin embargo, y generalmente también contiene el mismo nombre de la CSR.

Tanto el certificado como el CSR están definidos por la especificación X.509, por lo que decir "x509" no limita las cosas más allá de eso.

Pero como regla general, lo único que envía a la CA es la CSR. No necesitan nada más y no tienen ningún uso para nada más. Ciertamente, no les envía la clave privada; todo el proceso de firma se construyó alrededor de la idea de que nunca comparte la clave privada con nadie . La clave privada se crea al mismo tiempo que la CSR, pero se mantiene privada, mientras que la CSR se envía a la CA, que le devuelve un certificado a cambio. La clave pública que figura en el certificado coincidirá con la clave privada que creó cuando creó la CSR.

    
respondido por el tylerl 11.06.2012 - 05:28
fuente

Lea otras preguntas en las etiquetas