Preguntas de RSE - ¿Importan?

1

Tengo un certificado SSL que caducará muy pronto y necesito generar un CSR para renovar mi certificado.

Tengo a mano el archivo pem de clave privada y me he configurado para ejecutar el siguiente comando.

openssl req -out codesigning.csr -key my-company-apps-Private-Key.pem -new

Cuando ejecuto este comando, me pide lo siguiente ...

Nombre del país: Nombre del Estado: Nombre de la localidad: Nombre de la Organización: Nombre Unidad Organizacional: Nombre común: Dirección de correo electrónico Contraseña de desafío: Nombre de la empresa:

El tipo que generó la CSR inicial se fue de la empresa y no tengo ni idea de lo que habría aportado por estas respuestas en la CSR original.

¿Las preguntas a estas respuestas son importantes para la RSE?

¿Hay alguna forma de que pueda encontrar esta información utilizando el certificado original?

Cualquier otra orientación sería bienvenida.

gracias de antemano.

    
pregunta Richie 04.10.2016 - 08:33
fuente

3 respuestas

0

Descargué el certificado del sitio web de wikipedia. Luego lo ejecuté

openssl x509 -text -in star.wikipedia.org.crt -inform PEM

y se imprime un montón de cosas. A continuación, creo que puede encontrar información relevante:

kai@MYHOST:~$ openssl x509 -text -in star.wikipedia.org.crt -inform PEM
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            11:21:a2:25:ba:04:02:d7:91:85:48:54:c8:ba:60:68:6a:9b
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=BE, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation CA - SHA256 - G2
        Validity
            Not Before: Dec 10 23:22:05 2015 GMT
            Not After : Dec 10 22:46:04 2016 GMT
====>  Subject: C=US, ST=California, L=San Francisco, O=Wikimedia Foundation, Inc., CN=*.wikipedia.org
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub: 
                    04:cb:db:d0:46:41:79:b8:d3:6e:2e:c8:5c:32:d3:
                    f7:82:44:c4:5b:6d:36:51:1b:e6:8f:29:34:92:fe:
                    7c:32:65:8f:23:fd:18:82:b2:35:40:13:fd:7a:c1:
                    ce:c8:3a:da:52:19:93:10:0b:aa:59:1a:f0:f3:8b:
                    ef:dc:7b:0b:fd
                ASN1 OID: prime256v1
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.2.2
                  CPS: https://www.globalsign.com/repository/

            X509v3 Subject Alternative Name:
[...Snip...]

He marcado la sección correspondiente. Dice básicamente

Country = US
State = California
Location = San Francisco
Organization = Wikimedia Foundation, Inc.
Common Name=*.wikipedia.org

Puede hacer lo mismo con su certificado anterior y luego sabe exactamente lo que necesita para ingresar en el CSR.
El propósito de esto es proporcionar una descripción de identidad para la cual CA puede responder. El formato para describir la identidad se toma del estándar de directorio X.500 que usa esos tokens C, L, OU, etc. Probablemente sea una buena idea ingresar los mismos valores del certificado anterior. En caso de que el nombre o la ubicación de la empresa haya cambiado y desee reflejar que en el nombre X.500, su CA probablemente inicie algún tipo de proceso para verificar que el nuevo nombre es correcto ...

    
respondido por el kaidentity 04.10.2016 - 10:12
fuente
1

CN y SAN son importantes, ya que hay RFI que requieren una coincidencia de identificadores. Por ejemplo, para TLS RFC 6125. Sea deliberado con estos. Para otros campos, importa menos, así que simplemente copie lo que tiene en su certificado anterior.

Antes de generar CSR, recomiendo verificar que tenga una clave de 2048 bits o superior. Puedes hacer esto ejecutando:

$ openssl x509 -in public.pem -text -noout | grep "RSA Public Key" RSA

También, considere incluir las extensiones basicConstraints y extendedKeyUsage .

    
respondido por el Kirill Sinitski 04.10.2016 - 15:10
fuente
0

Todo esto se puede extraer de su certificado anterior, simplemente usando la función Ver certificado en su navegador favorito, una vez que visite la URL https de su sitio.

Sin embargo, el único que realmente importa es el nombre común. Este es el nombre de dominio que debe ser protegido.

Todos los demás pueden cambiar en cada renovación.

Si tiene dominios SAN (nombres de dominio alternativos, consulte esta pregunta para una imagen de ejemplo) entonces habrá que configurarlas, pero ese es un tema para una pregunta diferente.

No creo que debas usar una contraseña de desafío. No he oído hablar de este uso en una CSR.

    
respondido por el George Bailey 04.10.2016 - 15:37
fuente

Lea otras preguntas en las etiquetas