63 votos

¿CSR debe generar en el servidor que alojará el certificado SSL?

Es necesario para generar el CSR (Solicitud de Firma de Certificado) en la misma máquina que será el anfitrión de mi aplicación web y certificado SSL?

Esta página sobre SSL Comprador dice que es así, pero no estoy seguro de si eso es cierto, porque significaría que tendría que comprar un certificado SSL para cada servidor en mi grupo.

¿Qué es la RSE? Un CSR o petición de Firma de Certificado es un bloque de texto cifrado que se genera en el servidor que el certificado de va a ser utilizada.

69voto

kce Puntos 9227

No. No es necesario generar el CSR en la máquina que desea acoger el certificado resultante en. La RSE tiene necesidad generada ya sea utilizando la clave privada existente que el certificado se enfrentarán finalmente con o se genera su clave privada correspondiente como parte del proceso de creación de CSR.

Lo importante no es tanto el host origen sino que la clave privada y clave pública resultante son un par.

30voto

MadHatter Puntos 44059

kce es muerto a derecho, absolutamente no necesita ser hecho en el mismo equipo, pero necesita ser hecho a partir de la correspondiente clave privada.

La única razón por la que estoy publicando una segunda respuesta es porque nadie dice por qué es posible que desee hacer tal cosa. Casi cada tecla/RSE establece que me generan se realiza desde mi computadora de escritorio o portátil, entonces la clave está segura de que se copian en el servidor donde se instalará el certificado, y la RSE es enviado a la firma de la agencia. La razón es la entropía: los certificados SSL se utilizan generalmente para proteger los servidores y los servidores suelen tener muy poca entropía piscinas, que debilita pares de claves se crean o hace que la creación de tomar un largo tiempo. Escritorios, por otro lado, tiene una útil fuente de aleatoriedad conectado a través de teclado/ratón, cables, y por lo tanto tienden a tener profundas de la entropía de las piscinas. Por lo tanto, hacen mucho mejor plataformas para operaciones que requieren alta calidad de números aleatorios, generación del par de claves de ser uno de esos.

Así que no sólo puede la clave/responsabilidad social que se genera fuera del servidor, pero me parece que con frecuencia hay una buena razón para hacerlo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: