क्या Windows Server 2008 R2 पर IIS 7.5 के माध्यम से CSR बनाना हमेशा एक नई निजी कुंजी बनाता है?

11

Windows 2008 R2 सर्वर के लिए CSR बनाना और यह सुनिश्चित करना आवश्यक है कि CSR के लिए प्रयुक्त निजी कुंजी नया है।

मैंने परीक्षण के लिए अपने स्वयं के हस्ताक्षर किए गए सीटर बनाने के लिए ओपनएसएसएल का उपयोग किया है और यदि मुझे सही याद है, तो मैं उपयोग करने के लिए एक निजी कुंजी निर्दिष्ट करने में सक्षम था।

IIS सर्वर प्रमाणपत्र में, मुझे कभी भी निजी कुंजी बनाने या न लेने के लिए नहीं कहा जाता है।

तो, क्या विंडोज आधारित सर्वर पर एक सीएसआर उत्पन्न करना हमेशा इसके लिए एक नई निजी कुंजी बनाता है? यदि नहीं, तो मैं कैसे सुनिश्चित करूँ कि एक नई निजी कुंजी बना / उपयोग की गई है?

windows-server-2008-r2  ssl  iis-7.5  private-key  csr 
jzimmerman2011
स्रोत
1
आप निजी कुंजी मतलब है ?
EEAA
1
हाँ, धन्यवाद, अब संपादन। मैं एक sysadmin से पहले एक डेवलपर हूं, इसलिए प्राथमिक कुंजी सिर्फ मेरे सिर से पहले निकली। :)
jzimmerman2011
CSR जेनरेट कर रहा है या एक सर्टिफिकेट जेनरेट कर रहा है? क्या, वास्तव में आप क्या कर रहे हैं, और आप कैसे कर रहे हैं? (इससे फर्क पड़ता है।)
हॉपलेसएनबीबी
मैं एक CSR जेनरेट कर रहा हूं, जो एक CA को सर्टिफिकेट बनाने के लिए दिया जाएगा। यह IIS के माध्यम से किया जा रहा है और यह सर्वर सर्टिफिकेट इंटरफेस है।
jzimmerman2011

जवाबों:

8

हाँ

"सर्टिफिकेट सर्टिफिकेट रिक्वेस्ट" विज़ार्ड स्वचालित रूप से एक नई कुंजी जोड़ी बनाता है।

IIS सर्वर प्रमाणपत्र में, मुझे कभी भी निजी कुंजी बनाने या न लेने के लिए नहीं कहा जाता है।

यह वास्तव में सच नहीं है - जादूगर इसके बारे में सुपर स्पष्ट नहीं है।

जब आपने पहचान जानकारी (सामान्य नाम, स्थानीयता, संगठन आदि) दर्ज की है और "अगला" मारा है, तो दूसरी स्क्रीन 2 चीजें मांगती है:

  1. एक क्रिप्टोग्राफ़िक सेवा प्रदाता (CSP)
  2. एक बिट-लंबाई

यहाँ छवि विवरण दर्ज करें

डिफ़ॉल्ट CSP - Microsoft RSA SChannel CSP - और 2048 की थोड़ी लंबाई चुनना विंडोज के समतुल्य होगा:

openssl req -new -newkey rsa:2048

एक हस्ताक्षर अनुरोध के एनाटॉमी

CSR को केवल 3 "भागों" के रूप में माना जा सकता है:

  1. स्पष्ट पाठ (CN, स्थानीयता, संगठन आदि) में पहचान की जानकारी
    • यह केवल तार है, हस्ताक्षरकर्ता (सीए) उन लोगों को अपनी इच्छा से बदल सकते हैं
  2. सार्वजनिक कुंजी
    • आपको अपने सर्वर पर संबंधित निजी कुंजी की आवश्यकता होगी
  3. वैकल्पिक विस्तार फ़ील्ड
    • अभी भी सिर्फ स्पष्ट पाठ जानकारी

जारीकर्ता हस्ताक्षर के अनुरोध में जानकारी की समीक्षा करता है, दोनों (1) और (3) की सामग्री को बदल सकता है।
जारीकर्ता तब अनुरोधकर्ता सार्वजनिक कुंजी (2) को एन्क्रिप्ट करने के लिए CA निजी कुंजी का उपयोग करता है ।

जब अंतिम प्रमाणपत्र जारी किया जाता है, तो उसमें ये शामिल हैं:

  1. स्पष्ट पाठ (CN, स्थानीयता, संगठन आदि) में पहचान की जानकारी
    • अब जारीकर्ता जानकारी के साथ जोड़ा गया
  2. सार्वजनिक कुंजी
    • फिर भी ऊपर जैसा है
  3. वैकल्पिक विस्तार फ़ील्ड
    • अब शायद जारीकर्ता विस्तार क्षेत्रों के साथ
  4. एक हस्ताक्षर बूँद
    • यह CA की निजी कुंजी के साथ हस्ताक्षरित सार्वजनिक कुंजी है

अब, अगली बार जब कोई ग्राहक आपके प्रमाणपत्र को प्रस्तुत करता है, तो वह हस्ताक्षरकर्ता ब्लॉब (4) को डिक्रिप्ट करने के लिए जारीकर्ता CA की सार्वजनिक कुंजी का उपयोग कर सकता है और इसे प्रमाणपत्र में सार्वजनिक कुंजी से तुलना कर सकता है

मैथियास आर जेसेन
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.