Estoy tratando de armar un nuevo programa de PKI para mi empresa, y estoy un poco preocupado por el concepto de claves privadas y frases de contraseña.
Nos gustaría implementar los Servicios de certificados de Active Directory (AD CS) de Microsoft para emitir certificados para aplicaciones internas y sitios web, y aquí es donde está la confusión. Antes de esto, ya sea IIS o Apache / Tomcat, generaríamos CSR a través de OpenSSL usando una clave privada y frase de contraseña.
Ahora que estoy investigando AD CS, parece que, para IIS, la CSR se crea en el servidor IIS y luego se procesa a través del servidor de CA, generando la clave privada y .cer / .crt. Podemos extraer la clave privada y almacenarla en caso de que ocurra algo.
Pero ¿qué pasa con la frase de contraseña? ¿IIS no requiere una clave privada para tener una? ¿Hay una manera de generar una clave privada / CSR en IIS usando una frase de contraseña de clave privada? ¿Podemos seguir utilizando OpenSSL para generar un .csr y procesarlo a través de AD CS?
Saludos