SSL सर्टिफ़िकेट होस्ट करने वाले सर्वर पर CSR जनरेट होना चाहिए?


54

क्या उसी मशीन पर CSR (सर्टिफिकेट साइनिंग रिक्वेस्ट) जेनरेट करना आवश्यक है जो मेरे वेब एप्लिकेशन और एसएसएल सर्टिफिकेट की मेजबानी करेगा?

एसएसएल शॉपर पर यह पेज ऐसा कहता है, लेकिन मुझे यकीन नहीं है कि यह सच है, क्योंकि इसका मतलब है कि मुझे अपने क्लस्टर में प्रत्येक सर्वर के लिए एक अलग एसएसएल प्रमाणपत्र खरीदना होगा।

CSR क्या है? CSR या प्रमाणपत्र हस्ताक्षर अनुरोध एन्क्रिप्टेड पाठ का एक ब्लॉक है जो सर्वर पर उत्पन्न होता है जो प्रमाणपत्र का उपयोग किया जाएगा।


1
आप "सर्वर" शब्द के विभिन्न अर्थों को भ्रमित कर रहे हैं। जब आप " मेरे सर्वर में प्रत्येक सर्वर " कहते हैं , तो "सर्वर" से आपका मतलब एक भौतिक बॉक्स से है। जब वे कहते हैं " सर्वर पर कि प्रमाण पत्र का उपयोग किया जाएगा", तो उनका मतलब एक ऐसी चीज है जो एक सेवा प्रदान करता है, चाहे वह एक भौतिक बॉक्स हो या नहीं। (जब आप एक सीएसआर उत्पन्न करते हैं, तो इसे सीए को भेजने से पहले, सुनिश्चित करें कि आपको ठीक से पता है कि संबंधित निजी कुंजी कहां है। प्रमाणपत्र इसके बिना बेकार हो जाएगा।)
डेविड श्वार्ट्ज

जवाबों:


61

नहीं। सीएसआर को उस मशीन पर जेनरेट करना आवश्यक नहीं है, जिस पर आप परिणामी प्रमाणपत्र को होस्ट करना चाहते हैं। सीएसआर करता या तो मौजूदा निजी कुंजी है कि प्रमाणपत्र अंततः के साथ रखा जाएगा या उसके मिलान निजी कुंजी सीएसआर बनाने की प्रक्रिया के हिस्से के रूप में उत्पन्न होता है का उपयोग कर उत्पन्न करने की आवश्यकता।

जो महत्वपूर्ण है, वह इतना अधिक नहीं है कि मेजबान की उत्पत्ति हो, लेकिन निजी कुंजी और परिणामस्वरूप सार्वजनिक कुंजी एक मिलान जोड़ी है।


8
और वह निजी कुंजी निजी रहती है । बस हर जगह इसे कॉपी करने के लिए मत जाओ और फिर इसे अपने साथी को ईमेल करें और उसे आपके लिए सीएसआर उत्पन्न करने के लिए कहें।
लादादादा

4
वह कारक जो एक विशिष्ट मशीन के साथ उपयोग करने के लिए कुंजी + प्रमाणपत्र को सीमित करता है, DNS (होस्टनाम को cn या एक SubjectAltName फ़ील्ड से मेल खाने की आवश्यकता है ), साथ ही साथ विशिष्टता भी। न केवल कई सर्वरों के साथ एक ही निजी कुंजी का उपयोग करने से एक उच्च जोखिम प्रोफ़ाइल का निर्माण होता है, बल्कि सॉफ्टवेयर भी इसे एक ही सीरियल नंबर का उपयोग करके कई मेजबानों का पता लगाता है। (अच्छे कारण के साथ)
एंड्रयू बी

(यह भी, मैं इस जवाब से सहमत हूं, मुझे यह कहना चाहिए कि "ग्राहक-कथित होस्टनाम" के रूप में)
एंड्रयू बी

26

kce मृत है, यह बिल्कुल उसी मशीन पर करने की आवश्यकता नहीं है, लेकिन इसे संबंधित निजी कुंजी से करने की आवश्यकता है।

एकमात्र कारण मैं दूसरा उत्तर पोस्ट कर रहा हूं क्योंकि किसी ने नहीं कहा कि आप ऐसा क्यों करना चाहते हैं। लगभग हर कुंजी / CSR सेट जो मैं उत्पन्न करता हूं, मेरे लैपटॉप या डेस्कटॉप से ​​किया जाता है, फिर कुंजी को उस सर्वर पर सुरक्षित रूप से कॉपी किया जाता है जहां प्रमाणपत्र स्थापित किया जाएगा, और CSR को हस्ताक्षर करने वाली एजेंसी को भेज दिया जाता है। कारण एंट्रॉपी है: एसएसएल प्रमाणपत्र आमतौर पर सर्वरों को सुरक्षित करने के लिए उपयोग किया जाता है, और सर्वरों में अक्सर बहुत उथले एंट्रॉपी पूल होते हैं, जो या तो कीपर को कमजोर करते हैं जो वे बनाते हैं या निर्माण को एक लंबा समय लेते हैं। दूसरी ओर, डेस्कटॉप में कीबोर्ड / माउस केबल के माध्यम से यादृच्छिकता का एक उपयोगी स्रोत जुड़ा होता है, और इस प्रकार गहरे एंट्रोपी पूल होते हैं। इसलिए वे उच्च गुणवत्ता वाले यादृच्छिक संख्याओं की आवश्यकता के लिए बेहतर प्लेटफॉर्म बनाते हैं, कीपर पीढ़ी एक ऐसी होती है।

तो न केवल कुंजी / सीएसआर को ऑफ-सर्वर उत्पन्न किया जा सकता है, लेकिन मुझे लगता है कि ऐसा करने के लिए अक्सर एक अच्छा कारण है।


2
मैं मानव जोखिम को एन्ट्रापी जोखिम से अधिक देखता हूं। डेस्कटॉप में ओएस और परिसंपत्ति प्रबंधन नीति के आधार पर अपने स्वयं के जोखिमों की अधिकता है, इसमें शामिल प्रशासकों की प्रथाओं के बारे में कभी नहीं बताया गया है। (हार्ड ड्राइव क्षेत्रों को हटाने से पहले श्रेड किया जा रहा है यदि यह एक बिना लाइसेंस वाली निजी कुंजी है? क्या उपयोगकर्ता अभ्यास कभी कुंजी को उजागर करने का जोखिम उठाता है?) PKI उन चीजों में से एक है जिन पर मुझे बहुत से लोगों को अंत से समझने तक का भरोसा नहीं है? , मानव त्रुटि तत्व को कभी नहीं, इसलिए मैं "अक्सर ऐसा करने का एक अच्छा कारण" होने के कथन पर सवाल उठाता हूं। अन्यथा, एक दिलचस्प बिंदु।
एंड्रयू बी

वे सभी उचित प्रश्न हैं, खासकर अगर कीपर पीढ़ी के लिए एक सर्वोत्तम-अभ्यास सूची में बदल गया है। जो लोग इसे वास्तव में गंभीरता से लेना चाहते हैं, उनके लिए serverfault.com/questions/307896/… पर कुछ बेहतरीन सुझाव हैं - सवाल CA जनरेशन और हैंडलिंग के बारे में है, लेकिन उन विचारों में से कई को कीपर में सर्वश्रेष्ठ अभ्यास के लिए भी अपनाया जा सकता है। पीढ़ी।
मदहैटर

यह अब उचित है, धन्यवाद। मुझे लगा कि वहाँ किसी प्रकार के अस्वीकरण की आवश्यकता है, क्योंकि यह रैंक और फ़ाइल व्यवस्थापक के लिए खतरनाक है जो कि एक सर्वोत्तम अभ्यास कथन के रूप में व्याख्या करने के लिए शामिल जोखिमों को नहीं समझते हैं। यदि कुंजी चोरी हो सकती है, तो यह खेल खत्म हो गया है।
एंड्रयू बी
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.