¿Por qué se supone que la generación de la Solicitud de firma de certificado (CSR) es específica de la plataforma / máquina?

Navega tus respuestas
1

He visto preguntas ¿Es cierto que los certificados solicitados con una CSR específica solo se pueden usar en la máquina donde se generó la CSR? y ¿Origen de la generación de CSR? y Generar código CSR en la máquina local ; También he visto enlace - pero estas respuestas no explican por qué la mayoría de las instrucciones para generar CSRs insisten en que la generación se realice en la plataforma / máquina específica (p. ej., consulte enlace o enlace , y muchos otros). Si esto fuera, como supongo, solo por razones de conveniencia (es decir, para usar instrucciones / peajes específicos disponibles en una plataforma), sería comprensible, pero, por ejemplo, las instrucciones de GoDaddy (uno de los enlaces anteriores) dicen explícitamente: para un certificado de firma, "es importante que genere la CSR desde su máquina local y no desde el servidor web que está usando para alojar el archivo": ¿por qué sería eso importante?
Por lo que entiendo, todo lo que importa es la posesión de la clave privada. Entonces, ¿son estas instrucciones específicas de la plataforma / caja solo por razones de conveniencia y para garantizar que la seguridad de la clave privada no se vea comprometida al moverla entre máquinas?

    
pregunta Sasha 22.04.2017 - 02:03
fuente

2 respuestas

2

La generación de CSR no es específica de la plataforma, es cierto, como usted dice, que solo necesita la clave principal y la clave privada no está vinculada a una máquina específica.

Sin embargo, especialmente en un tutorial para principiantes, hay un par de razones por las que este consejo puede ser sensato:

  1. Limita la clave privada solo a la máquina que la usará. No tendrá copias de la llave en las máquinas que no deberían tenerlas, lo que puede convertirse en otra vía de fugas clave.

  2. Aumenta la probabilidad de que esté generando la clave en el formato correcto para el software que los va a usar. Si tiene openssl en el servidor, la herramienta de generación de claves de openssl generará archivos pem en lugar de pkcs12. Si bien no es demasiado difícil convertir entre formatos, esto reduce la fricción para los usuarios menos informados.

Al decirle a la gente que genere las claves en el lugar donde se va a utilizar, logrará estos objetivos y, al mismo tiempo, será bastante simple para que los clientes menos informados les sigan y les brinden una buena seguridad.

    
respondido por el Lie Ryan 22.04.2017 - 15:19
fuente
1

Una CSR es solo una solicitud de firma, siempre que tenga la clave privada utilizada para la CSR, el certificado firmado que obtenga a través de esa CSR y su clave se pueda utilizar en cualquier parte de cualquier máquina.

Al decirles a los usuarios que hagan todas esas cosas en la misma máquina, son menos propensos a usar la combinación incorrecta de llaves y certificados, lo que significa menos llamadas de soporte para la CA.

    
respondido por el John Keates 22.04.2017 - 03:23
fuente

Lea otras preguntas en las etiquetas

El proxy no rechaza el encabezado de host ilegal cuando viene de la red de mi proveedor de VM Exportando claves privadas no exportables en Mac