Per dispositivi come la decrittografia dei proxy HTTPS, esiste spesso un meccanismo integrato per generare una coppia di chiavi e una CSR. Un amministratore può quindi richiedere all'autorità interna di firmare il CSR con un modello CA subordinato e associare il certificato al CSR nell'appliance. In questo caso, la chiave privata non lascia l'appliance (e generalmente non può essere esportata).
Le stesse appliance spesso offrono un'opzione per caricare una chiave privata e un certificato crittografati. In questo scenario, l'amministratore utilizza (ad esempio) OpenSSL per generare la chiave e il CSR su una macchina separata, procurarsi il certificato e quindi caricarlo. I vantaggi in questo caso sono la possibilità di archiviare la chiave privata per il backup, potenzialmente di specificare lunghezze della chiave più lunghe e aggiungere ulteriori informazioni alla CSR che potrebbero non essere disponibili nella procedura guidata di generazione sull'appliance. Questo ovviamente presuppone un solido processo di escrow / backup chiave.
La mia domanda è: supponendo che ci sia una macchina offline (o "vault") dedicata e indurita per generare la chiave e la CSR, che è il metodo preferito? Dal punto di vista delle best practice sulla sicurezza, la chiave dovrebbe essere generata sull'appliance di destinazione utilizzando la procedura guidata o la macchina "OpenSSL" dedicata?