Preguntas de RSE - ¿Importan?

Descargué el certificado del sitio web de wikipedia. Luego lo ejecuté

openssl x509 -text -in star.wikipedia.org.crt -inform PEM

y se imprime un montón de cosas. A continuación, creo que puede encontrar información relevante:

kai@MYHOST:~$ openssl x509 -text -in star.wikipedia.org.crt -inform PEM
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            11:21:a2:25:ba:04:02:d7:91:85:48:54:c8:ba:60:68:6a:9b
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=BE, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation CA - SHA256 - G2
        Validity
            Not Before: Dec 10 23:22:05 2015 GMT
            Not After : Dec 10 22:46:04 2016 GMT
====>  Subject: C=US, ST=California, L=San Francisco, O=Wikimedia Foundation, Inc., CN=*.wikipedia.org
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub: 
                    04:cb:db:d0:46:41:79:b8:d3:6e:2e:c8:5c:32:d3:
                    f7:82:44:c4:5b:6d:36:51:1b:e6:8f:29:34:92:fe:
                    7c:32:65:8f:23:fd:18:82:b2:35:40:13:fd:7a:c1:
                    ce:c8:3a:da:52:19:93:10:0b:aa:59:1a:f0:f3:8b:
                    ef:dc:7b:0b:fd
                ASN1 OID: prime256v1
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.2.2
                  CPS: https://www.globalsign.com/repository/

            X509v3 Subject Alternative Name:
[...Snip...]

He marcado la sección correspondiente. Dice básicamente

Country = US
State = California
Location = San Francisco
Organization = Wikimedia Foundation, Inc.
Common Name=*.wikipedia.org

Puede hacer lo mismo con su certificado anterior y luego sabe exactamente lo que necesita para ingresar en el CSR.
El propósito de esto es proporcionar una descripción de identidad para la cual CA puede responder. El formato para describir la identidad se toma del estándar de directorio X.500 que usa esos tokens C, L, OU, etc. Probablemente sea una buena idea ingresar los mismos valores del certificado anterior. En caso de que el nombre o la ubicación de la empresa haya cambiado y desee reflejar que en el nombre X.500, su CA probablemente inicie algún tipo de proceso para verificar que el nuevo nombre es correcto ...

CN y SAN son importantes, ya que hay RFI que requieren una coincidencia de identificadores. Por ejemplo, para TLS RFC 6125. Sea deliberado con estos. Para otros campos, importa menos, así que simplemente copie lo que tiene en su certificado anterior.

Antes de generar CSR, recomiendo verificar que tenga una clave de 2048 bits o superior. Puedes hacer esto ejecutando:

$ openssl x509 -in public.pem -text -noout | grep "RSA Public Key" RSA

También, considere incluir las extensiones basicConstraints y extendedKeyUsage .

Todo esto se puede extraer de su certificado anterior, simplemente usando la función Ver certificado en su navegador favorito, una vez que visite la URL https de su sitio.

Sin embargo, el único que realmente importa es el nombre común. Este es el nombre de dominio que debe ser protegido.

Todos los demás pueden cambiar en cada renovación.

Si tiene dominios SAN (nombres de dominio alternativos, consulte esta pregunta para una imagen de ejemplo) entonces habrá que configurarlas, pero ese es un tema para una pregunta diferente.

No creo que debas usar una contraseña de desafío. No he oído hablar de este uso en una CSR.