Apakah menghasilkan CSR melalui IIS 7.5 pada Windows Server 2008 R2 selalu membuat kunci pribadi baru?

11

Menghasilkan CSR untuk server Windows 2008 R2 dan perlu memastikan bahwa kunci pribadi yang digunakan untuk CSR adalah baru.

Saya telah menggunakan OpenSSL sebelumnya untuk membuat sertifikat yang saya tandatangani sendiri untuk pengujian dan jika saya ingat dengan benar, saya dapat menentukan kunci pribadi untuk digunakan.

Dalam Sertifikat Server IIS, saya tidak pernah diminta untuk membuat atau memilih kunci pribadi.

Jadi, apakah menghasilkan CSR di server berbasis Windows selalu membuat kunci pribadi baru untuk itu? Jika tidak, bagaimana saya memastikan kunci pribadi baru dibuat / digunakan?

jzimmerman2011
sumber
1
Maksud Anda kunci pribadi ?
EEAA
1
Ya, terima kasih, edit sekarang. Saya seorang pengembang sebelum sysadmin, jadi kunci utama baru saja keluar dari kepala saya. :)
jzimmerman2011
Menghasilkan CSR, atau menghasilkan sertifikat? Apa, tepatnya yang kamu lakukan, dan bagaimana kamu melakukannya? (Itu membuat perbedaan.)
HopelessN00b
Saya menghasilkan CSR yang akan diberikan kepada CA untuk membuat sertifikat. Ini dilakukan melalui IIS dan itu adalah antarmuka Sertifikat Server.
jzimmerman2011

Jawaban:

8

Iya

Wisaya "Buat Permintaan Sertifikat" secara otomatis menghasilkan pasangan kunci baru.

Dalam Sertifikat Server IIS, saya tidak pernah diminta untuk membuat atau memilih kunci pribadi.

Ini sebenarnya tidak benar - penyihir tidak begitu jelas tentang hal itu.

Ketika Anda telah memasukkan informasi identitas (Nama Umum, Lokalitas, Organisasi dll.) Dan tekan "Next", layar kedua menanyakan 2 hal:

  1. Penyedia Layanan Kriptografis (CSP)
  2. Panjang bit

masukkan deskripsi gambar di sini

Memilih CSP default - Microsoft RSA SChannel CSP - dan Panjang Bit 2048 akan menjadi setara dengan Windows untuk:

openssl req -new -newkey rsa:2048

Anatomi Permintaan Penandatanganan

CSR itu sendiri dapat dianggap memiliki 3 "bagian":

  1. Informasi identitas dalam teks yang jelas (CN, Lokalitas, Organisasi, dll.)
    • Ini hanyalah string, penandatangan (CA) dapat mengubah mereka sesuka hati
  2. Kunci Publik
    • Anda akan memerlukan kunci pribadi yang sesuai di server Anda
  3. Bidang ekstensi opsional
    • Masih hanya menghapus informasi teks

Penerbit meninjau informasi dalam permintaan penandatanganan, dan dapat mengubah konten dari keduanya (1) dan (3).
Penerbit kemudian menggunakan CA private key untuk mengenkripsi kunci publik pemohon (2).

Ketika Sertifikat akhir dikeluarkan, itu berisi:

  1. Informasi identitas dalam teks yang jelas (CN, Lokalitas, Organisasi, dll.)
    • Sekarang dengan informasi Penerbit ditambahkan
  2. Kunci Publik
    • Masih sama seperti di atas
  3. Bidang ekstensi opsional
    • Sekarang mungkin dengan bidang ekstensi Penerbit
  4. Gumpalan tanda tangan
    • Ini adalah kunci Publik yang ditandatangani dengan kunci pribadi CA

Sekarang, saat berikutnya klien mendapatkan sertifikat Anda, ia dapat menggunakan kunci publik Penerbit CA untuk mendekripsi gumpalan tanda tangan (4) dan membandingkannya dengan kunci publik dalam sertifikat

Mathias R. Jessen
sumber