¿Configurando un certificado comodín, pregunta sobre la generación de CSR?

Question

¿Configurando un certificado comodín, pregunta sobre la generación de CSR?

#1 de Tom Leek (4 votos)

2

He registrado un nuevo dominio para un proyecto. El alojamiento es hecho por un proveedor. He establecido los servidores de nombres de acuerdo con las especificaciones de los proveedores. Ahora están requiriendo el certificado en formato PFX. Cuando voy a aprovisionar el certificado en godaddy (lo sé) pide el CSR. No estoy familiarizado con esto en absoluto, pero después de algunas investigaciones, mi pregunta principal es ¿puedo generar el CSR en cualquier máquina o realmente tiene que estar en el servidor que alojará el dominio? La pregunta secundaria sería ¿qué uso para generarlo? busqué en CertUtil.exe pero la mayoría de la documentación es antigua y no veo nada relacionado con la RSE. Parece que puedo crearlo con certutil usando estas instrucciones.

tls certificates

pregunta Scott Beeson 29.07.2015 - 23:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls certificates

¿Cómo puede una organización saber mi edad según mi dirección IP? ¿Rasberry Pi con TRESOR inmune al arranque en frío y los ataques DMA?

score 4 · Accepted Answer

Lo que se supone que debes generar es el par de claves criptográficas . Tú te quedas con la parte privada; La solicitud de certificado (CSR) contiene la clave pública. El CA (godaddy) quiere su clave pública ya que es lo que pondrán en su certificado.

Teóricamente, el mejor lugar donde puede generar el par de claves es en el propio servidor: el valor de la clave privada es que es privado , y cuanto más viaje, más riesgos corre estar expuesto. Sin embargo, parece que desea enviar el certificado "como un archivo PFX", que significa el certificado y la clave privada, agrupados como un archivo (que está protegido por contraseña). Por lo tanto, la clave privada viajará . Bajo estas condiciones, también puede generar el par de claves en una máquina donde sea más cómodo para usted.

En el mundo de Microsoft / Windows, la herramienta para generar solicitudes de certificado es certreq.exe . Esa herramienta funciona con un archivo de configuración (que llaman un "archivo INF", aunque no existe una necesidad real de que su nombre termine con ".inf"). El archivo de configuración establece los detalles precisos de la generación de claves (tipo de clave, longitud de clave, nombre en el CSR, ...). La CA, o el proveedor que solicita un archivo PFX, debe ayudarlo con eso (es decir, no puedo garantizar que le ayudará , pero es su trabajo hacerlo).