La CA può emettere un certificato senza CSR?

3

La mia domanda è se la CA può generare una coppia di chiavi privata / pubblica per conto del richiedente e firmarla con la sua chiave privata?

Esiste un modo o un protocollo standard per distribuire tale certificato?

So che il formato p12 viene utilizzato per memorizzare la chiave privata e il certificato pubblico e questo file è protetto da password. È una pratica comune di una CA offrire questo servizio?

    
posta toni77 11.02.2015 - 13:43
fonte

2 risposte

3

Un server può utilizzare un certificato autofirmato per identificarsi. I client devono quindi fidarsi di questo certificato quando si connettono o utilizzano il servizio del server.

Nell'infrastruttura PKI normalmente non si ha la CA che genera la coppia di chiavi a meno che non sia il certificato di root. I client e le CA intermedie generano la propria coppia di chiavi e utilizzano la CSR per far firmare il certificato di origine. Una CA non genera i certificati in sé, perché in questo modo si può credere che la CA non abbia mantenuto la chiave privata per se stessa. Questo rompe l'infrastruttura PKI.

Autorità di certificazione come Symantec / Verisign o GoDaddy generalmente non offrono servizi per generare la coppia di chiavi per te. A causa di ragioni nel paragrafo precedente. Invia loro un CSR con le informazioni per il tuo certificato da firmare.

Vedi la mia risposta qui per ulteriori dettagli.

    
risposta data 11.02.2015 - 15:13
fonte
2

Generalmente ci sono due tipi di generazione di chiavi disponibili come generazione offline e online.

La Generazione offline è come la CA creerà le coppie di chiavi e il certificato di emissione per l'altra parte tramite l'affidabilità tra di loro come mezzo di generazione ed emissione. Inoltre, in alcuni casi, gli utenti finali o gli abbonati non sono a conoscenza di cos'è la CSR e le coppie di chiavi, in questo caso la CA deve fornire un meccanismo di facile utilizzo per ottenere il certificato.

Generazione online è come ottenere il certificato da terze parti attendibili fornendo il CSR come input. Qui l'utente è ben consapevole degli strumenti di sicurezza.

Nota: nei casi offline, la chiave privata è con CA. o può mancare di usarlo in qualsiasi momento per la situazione. E anche per una ragione genuina, rubata la tua chiave privata e abusata, devi essere inaffidabile della tua CA. Quindi è meglio evitare la generazione di chiavi dal lato CA.

Anche la maggior parte dell'infrastruttura PKI fornisce la flessibilità di generare la coppia di chiavi nei browser anche se gli utenti finali o gli abbonati non ne sono a conoscenza semplicemente facendo clic sul pulsante OK.

    
risposta data 11.02.2015 - 23:41
fonte