¿Podemos generar la CSR (solicitud de firma de certificado) utilizada para la firma del certificado a partir del certificado firmado? Debe funcionar con la clave privada original cuando se vuelva a firmar con autoridad diferente.
¿Podemos generar la CSR (solicitud de firma de certificado) utilizada para la firma del certificado a partir del certificado firmado? Debe funcionar con la clave privada original cuando se vuelva a firmar con autoridad diferente.
Usando OpenSSL, esto es lo que harías:
$ openssl req -out codesigning.csr -key private.key -new
Donde private.key es la clave privada existente.
Como puede ver, no genera esta CSR a partir de su certificado (clave pública). Además, no genera la "misma" CSR, solo una nueva para solicitar un nuevo certificado.
Según su comentario, si no tiene acceso a la clave privada existente, puede crear una nueva clave privada y CSR:
$ openssl req -out codesigning.csr -new -newkey rsa:2048 -nodes -keyout private.key
Los resultados finales siguen siendo los mismos, usted obtiene un CSR y emite un nuevo certificado.
Sí, siempre que tenga la clave privada, puede volver a emitir una nueva CSR copiando los campos ( Nombre del país, Estado o Provincia, Nombre de la localidad, Nombre de la organización, Nombre de la unidad organizativa, Nombre común , Dirección de correo electrónico ) desde el certificado existente a la CSR.
Editado de mi comentario: si ya no eres dueño de la clave privada, no puedes generar un CSR. La clave privada es necesaria para verificar la identidad del solicitante (usted) a través de la firma digital; de lo contrario, sería trivial generar CSR (y luego certificados) con credenciales falsas y falsificar cualquier entidad existente.
Lea otras preguntas en las etiquetas certificates openssl