Windows Server 2008 R2 üzerinde IIS 7.5 aracılığıyla CSR oluşturmak her zaman yeni bir özel anahtar oluşturur mu?

11

Windows 2008 R2 sunucusu için CSR oluşturma ve CSR için kullanılan özel anahtarın yeni olduğundan emin olmanız gerekir.

Test için kendi imzasını taşıyan sertifikaları oluşturmak için daha önce OpenSSL kullandım ve doğru hatırlıyorsam, kullanılacak özel bir anahtar belirtebiliyordum.

IIS Sunucu Sertifikaları'nda hiçbir zaman özel bir anahtar oluşturmam veya seçmem istenmez.

Peki, Windows tabanlı bir sunucuda CSR oluşturmak bunun için her zaman yeni bir özel anahtar oluşturur mu? Değilse, yeni bir özel anahtarın oluşturulmasını / kullanılmasını nasıl sağlayabilirim?

windows-server-2008-r2  ssl  iis-7.5  private-key  csr 
jzimmerman2011
kaynak
1
Özel anahtar mı demek istiyorsun?
EEAA
1
Evet, teşekkürler, şimdi düzenleme. Ben bir sysadmin'den önce geliştiriciyim, bu yüzden birincil anahtar önce kafamdan çıktı. :)
jzimmerman2011
CSR mi oluşturuyorsunuz, yoksa sertifika mı oluşturuyorsunuz? Tam olarak ne yapıyorsun ve nasıl yapıyorsun? (Bu bir fark yaratır.)
HopelessN00b
Sertifikayı oluşturmak için bir CA'ya verilecek bir CSR oluşturuyorum. Bu IIS ve Sunucu Sertifikaları arabirimi üzerinden yapılıyor.
jzimmerman2011

Yanıtlar:

8

Evet

"Sertifika İsteği Oluştur" Sihirbazı otomatik olarak yeni bir anahtar çifti oluşturur.

IIS Sunucu Sertifikaları'nda hiçbir zaman özel bir anahtar oluşturmam veya seçmem istenmez.

Bu aslında doğru değil - sihirbaz bu konuda çok açık değil.

Kimlik bilgilerini (Ortak Ad, Konum, Organizasyon vb.) Girip "İleri" düğmesine bastığınızda, ikinci ekran 2 şey sorar:

  1. Bir Şifreleme Servis Sağlayıcısı (CSP)
  2. Bit uzunluğu

resim açıklamasını buraya girin

Varsayılan CSP'yi (Microsoft RSA SChannel CSP) ve 2048 Bit Uzunluğunu seçmek, aşağıdakilere eşdeğer Windows olacaktır:

openssl req -new -newkey rsa:2048

İmzalama İsteğinin Anatomisi

CSR'nin kendisinin 3 "parçaya" sahip olduğu düşünülebilir:

  1. Açık metinde kimlik bilgileri (CN, Yerellik, Kuruluş vb.)
    • Bu sadece dizeler, imzalayan (CA) istediklerini değiştirebilir
  2. Açık Anahtar
    • Sunucunuzda karşılık gelen özel anahtara ihtiyacınız olacak
  3. İsteğe bağlı uzantı alanları
    • Hala net metin bilgileri

İhraççı, imzalama talebindeki bilgileri inceler, hem (1) hem de (3) 'ün içeriğini değiştirebilir.
Verici daha sonra, istemcilerin ortak anahtarını şifrelemek için CA özel anahtarını kullanır (2).

Nihai Sertifika verildiğinde şunları içerir:

  1. Açık metinde kimlik bilgileri (CN, Yerellik, Kuruluş vb.)
    • Şimdi İhraççı bilgileri eklendi
  2. Açık Anahtar
    • Hala yukarıdaki ile aynı
  3. İsteğe bağlı uzantı alanları
    • Şimdi belki İhraççı uzantı alanlarıyla
  4. Bir İmza Blob
    • Bu, CA'nın özel anahtarıyla imzalanmış Genel anahtardır

Şimdi, bir müşteri bir sonraki sertifikanızı sunduğunda, İmza blobunun şifresini çözmek (4) ve sertifikanın genel anahtarıyla karşılaştırmak için Yayıncı CA'nın ortak anahtarını kullanabilir

Mathias R. Jessen
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.