He estado tratando de entender algo. Cuando genera una CSR desde IIS, ¿cómo se mantiene la clave privada como un secreto, o no? ¿CA te envía un certificado que incluye tu clave privada? Porque nada parece decirme lo contrario, y nadie debería conocer su clave privada, excepto usted. Las instrucciones para generar una CSR desde IIS suelen ser así: enlace
Un certificado , debidamente nombrado, no incluye una clave privada. Un certificado contiene una clave pública y una identidad, y está firmado por una Autoridad de certificación . Desafortunadamente, una serie de documentaciones generalizadas utilizan el término "certificado" para designar la combinación de un certificado y la clave privada correspondiente; esto propaga la confusión.
Una solicitud de certificado (llamada "CSR") contiene solo la clave pública, no la clave privada. Cuando IIS genera una CSR, en realidad genera un nuevo par de claves (clave pública y privada), luego ajusta la clave pública en la solicitud de certificado y la firma con la clave privada. La clave privada no va a ninguna parte; La CA nunca lo ve. Cuando la CA recibe la CSR, toma la clave pública de la misma, la coloca en un certificado que firma y la devuelve. En ningún momento la clave privada abandona su máquina, y así es como deben hacerse las cosas.
Ahora, algunos CA insisten en generar ellos mismos el par de claves privada / pública, y enviarles la clave privada y el certificado. Esto hace que las cosas sean más sencillas técnicamente para la CA, pero conllevan posibles problemas de seguridad, ya que la CA también tiene una copia de la clave privada, y la clave privada tiene que volver a usted. Generalmente, se usa un archivo PKCS # 12 (también conocido como "archivo PFX"), porque ese formato incluye protección basada en contraseña.
la generación de la clave privada del lado de la entidad emisora de certificados puede ser una buena idea cuando la clave privada se utiliza para cifrar datos de forma permanente (por ejemplo, una clave privada para correos electrónicos cifrados), porque la pérdida de esa clave implica la pérdida de datos. Por lo tanto, se debe hacer una copia de seguridad de ese tipo de clave privada, y la CA es un lugar central agradable para tales copias de seguridad. Sin embargo, esto no se aplica a SSL, donde la clave privada se usa solo de forma transitoria para el establecimiento de la conexión. Por lo tanto, cuando el certificado es para IIS, entonces debe usarse la generación de claves privadas del lado del servidor, y eso es lo que hace IIS.
Lea otras preguntas en las etiquetas public-key-infrastructure tls certificates certificate-authority iis