Mi pregunta es si la CA puede generar un par de llaves público / privado en nombre del solicitante y firmarlo con su propia clave privada.
¿Existe alguna forma o protocolo estándar para distribuir dicho certificado?
Sé que el formato p12 se usa para almacenar la clave privada, así como el certificado público, y este archivo está protegido por contraseña. ¿Es esta una práctica común de una CA ofrecer este servicio?
Un servidor puede usar un certificado autofirmado para identificarse. Los clientes deben confiar en este certificado cuando se conectan o utilizan el servicio del servidor.
En la infraestructura PKI, normalmente la CA no genera el par de claves a menos que sea el certificado raíz. Los clientes y las entidades de certificación intermedias generarán su propio par de claves y utilizarán el CSR para que el certificado raíz lo firme. Una CA no genera certificados en sí misma porque, entonces, ¿cómo puede confiar en que la CA no ha mantenido la clave privada para sí misma? Esto rompe la infraestructura PKI.
Las CA como Symantec / Verisign o GoDaddy generalmente no ofrecen servicios para generar el par de claves para usted. Por motivos del apartado anterior. Les envía un CSR con la información para que se firme su certificado.
Consulte mi respuesta aquí para obtener más detalles.
En general, hay dos tipos de Generación de claves disponibles como generación sin conexión y en línea.
Offline Generation es como CA creará los pares de claves y emitirá el certificado a la otra parte por medio de confianza entre ellos como medio de generación y emisión. Y también en algunos casos, los usuarios finales o los suscriptores no sabrán qué es la CSR y los pares de claves, en este caso, la AC debe proporcionar un mecanismo fácil de usar para obtener el certificado.
La generación en línea es como usted obtiene el certificado de un tercero de confianza al proporcionar el CSR como entrada. Aquí el usuario conoce bien las herramientas de seguridad.
Nota: en los casos fuera de línea, su clave privada es con CA. Tampoco puede dejar de usar eso en cualquier momento por ser situación. Y también por una razón genuina, algunos han robado su clave privada y han sido mal utilizados, por lo que no debe confiar en su CA. Así que es mejor evitar la generación de claves desde el lado de CA.
Incluso la mayoría de la infraestructura PKI proporciona la flexibilidad de generar el par de claves en los navegadores, incluso los usuarios finales o suscriptores no lo notarán simplemente haciendo clic en el botón Aceptar.
Lea otras preguntas en las etiquetas digital-signature certificates certificate-authority x.509