Perché la richiesta di firma del certificato (CSR) dovrebbe essere specifica per piattaforma / macchina?

Naviga le tue risposte
1

Ho visto domande È vero che i certificati richiesti con un CSR specifico possono essere utilizzati solo sulla macchina in cui è stato generato il CSR? e origine generazione CSR? e Genera codice CSR sulla macchina locale ; Ho anche visto il link - ma queste risposte non spiegano perché la maggior parte delle istruzioni per generare CSR insistono sul fatto che la generazione viene eseguita su una piattaforma / macchina specifica (ad esempio, guarda link o link , e molti altri). Se questo fosse, come presumo, solo per convenienza (cioè, per utilizzare istruzioni specifiche / pedaggi disponibili su una piattaforma), sarebbe comprensibile - ma, ad esempio, le istruzioni di Godaddy (uno dei link sopra) dice esplicitamente, per un certificato di firma, "È importante generare il CSR dal computer locale e non dal server Web che si sta utilizzando per ospitare il file" - perché dovrebbe essere così?
Per quanto ho capito, tutto ciò che conta è il possesso della chiave privata. Quindi, queste istruzioni per piattaforma / box sono solo per motivi di convenienza e per garantire che la sicurezza della chiave privata non venga compromessa durante lo spostamento tra le macchine?

    
posta Sasha 22.04.2017 - 02:03
fonte

2 risposte

2

Generare CSR non è specifico per piattaforma, è vero come dici tu, che hai solo bisogno della chiave primaria e la chiave privata non è legata a una macchina specifica.

Tuttavia, specialmente nel tutorial per principianti, ci sono un paio di motivi per cui questo consiglio può essere ragionevole:

  1. Limita la chiave privata solo alla macchina che la utilizzerà. Non avrai copie della chiave in giro in macchine che non dovrebbero averle, che possono diventare un'altra via di fuga di chiavi.

  2. Aumenta la probabilità che tu possa generare la chiave nel formato corretto per il software che le utilizzerà. Se hai openssl sul server, lo strumento di generazione delle chiavi di openssl genererà file pem invece di pkcs12. Anche se non è troppo difficile da convertire tra i formati, questo riduce l'attrito per gli utenti meno esperti.

Spiegare alle persone di generare chiavi nel luogo in cui verranno utilizzate raggiungere questi obiettivi, pur essendo abbastanza semplice per i clienti meno esperti da seguire e produrre una buona sicurezza per loro.

    
risposta data 22.04.2017 - 15:19
fonte
1

Una CSR è solo una richiesta di firma, a patto che tu abbia la chiave privata utilizzata per la CSR, il certificato firmato che ottieni tramite tale CSR e la loro chiave può essere utilizzata ovunque su qualsiasi macchina.

Dicendo agli utenti di fare tutte queste cose sullo stesso computer, sono meno inclini a usare la combinazione sbagliata di chiavi e certificati, il che significa meno chiamate di supporto per la CA.

    
risposta data 22.04.2017 - 03:23
fonte

Leggi altre domande sui tag

Come garantire la privacy su un server in hosting remoto? Il proxy non rifiuta l'intestazione dell'host illegale quando proviene dalla rete del mio provider VM