Va import where vengono generati i CSR ei file chiave per la certificazione SSL?

Devo creare una CSR per un certificato SSL jolly. Alcune domande dei fornitori SSL dicono che dovrei generare il file CSR sulla macchina in cui voglio installare il certificato? La mia comprensione è che non dovrebbe importre where genero la CSR o il file chiave finché trasferisco i file nella posizione giusta più tardi.

Quindi la mia domanda è: Va import where vengono generati i CSR ei file chiave per la certificazione SSL?

  • Come impostare SSL su Ubuntu con Apache2 e Ruby on Rails?
  • Discernere i tipi di certificati SSD di GoDaddy
  • Come mitigare STARTTLS MITM (declassamento e certificati forgiati) tra i server di posta elettronica?
  • Codice di errore: ssl_error_rx_record_too_long
  • TLS Error 70 emette
  • Come impostare la mia autorità di certificazione completa?
  • 2 Solutions collect form web for “Va import where vengono generati i CSR ei file chiave per la certificazione SSL?”

    La tua comprensione è corretta. Tutte le altre cose sono uguali, non import; ma ci sono delle rughe.

    Un vantaggio per generarli sul server in questione è che minimizza la probabilità che la chiave venga compromise nel transito. Finché utilizzi una macchina sicura per generarli e un metodo protetto (immune agli attacchi MITM) per spostarli sul server, ti sfugge. Non dimenticate di cancellarli saldamente sul sistema di generazione, a less che non si intenda mantenere le copie e siano protette.

    Un vantaggio per generare su una macchina separata: di solito, questo sarà il tuo desktop. La piscina di entropia su una macchina da tavolo è quasi sempre più profonda che su un server incustodito, perché il desktop ha una grande fonte di casualità collegata tramite i cavi della tastiera e del mouse (cioè tu!). La mancanza di entropia può causare la generazione di chiavi per un lungo periodo di tempo o causare l'utilizzo di output /dev/urandom PRNG, a seconda di come lo strumento generatore è paranoico e ciò può portre a chiavi più deboli; le macchine desktop tendono a non avere questo problema.

    Modifica successiva : in base a una discussione altrove che si legano qui, sono stati sollevati due punti. Innanzitutto, potresti andare per una casa a metà strada generando l' entropia sul tuo desktop con ad esempio dd if=/dev/random bs=1k count=10 of=/tmp/entropy.dat , copiandolo sul server remoto e alimentandolo al process di generazione di chiavi direttamente o approfondendo il pool di entropia del server remoto. Non ho ancora trovato un modo per fare il primo, e fare queste ultime richiede generalmente di esercitare un privilegio, che – se il canale tra te e il server remoto non è sicuro, che è piuttosto il punto dell'intera obiezione – è anche insicuro.

    In secondo luogo, la stimabile mjg59 solleva il problema dei moduli di protezione hardware, ovvero i dispositivi in ​​cui si inserisce o all'interno di cui si creano chiavi private e che eseguono operazioni di chiavi senza mai uscire dalla chiave. Questo è un ottimo punto, ma al di fuori della portta di questa domanda.

    Ma l'esito più generale del filo – che si dovrebbe avere un model preciso di minaccia e scegliere le tue risposte in modo appropriato – è un bene. Il mio model di minaccia è che i miei canali di comunicazione sono sicuri, ma i miei punti finali sono sotto attacco intelligente. Ciò significa che genererò localmente chiavi SSL entropicamente forti e distribuirle. Se si scopre che il mio model è impreciso ei miei comms risultano vulnerabili, saprò immediatamente di supporre che tutte le chiavi SSL siano compromesse. Se il tuo model di minaccia è diverso, devi adattare le tue pratiche di conseguenza.

    Poco conta.

    Se li generi in un'altra macchina, i tasti sono vulnerabili sulla macchina di generazione e poi sul server. Se si utilizza una macchina infetta per generarli, alcuni virii potrebbero rubare le chiavi, anche prima di essere spostate sul server protetto.

    Se le crei in un server sicuro e sposta solo la CSR / cert, le probabilità di qualcuno / qualcosa di get la chiave privata sono minori rispetto al primo caso, poiché la chiave privata si trova solo su una macchina.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.