Domande CSR - Hanno importanza

1

Ho un certificato SSL che scadrà molto presto e ho bisogno di generare un CSR per ottenere il rinnovo del mio certificato.

Ho a disposizione il file pem della chiave privata e mi sono impostato per eseguire il seguente comando.

openssl req -out codesigning.csr -key my-company-apps-Private-Key.pem -new

Quando eseguo questo comando mi sta chiedendo il seguente ...

Nome del paese: Nome dello stato: Nome della località: Nome dell'organizzazione: Nome dell'unità organizzativa: Nome comune: Indirizzo email Sfida password: Nome dell'azienda:

Il tizio che ha generato la CSR iniziale ha lasciato la compagnia e non ho idea di cosa avrebbe messo per queste risposte sulla CSR originale.

Le domande su queste risposte sono importanti per la CSR?

Posso comunque trovare queste informazioni usando il certificato originale?

Qualsiasi altra guida sarebbe gradita.

grazie in anticipo.

    
posta Richie 04.10.2016 - 08:33
fonte

3 risposte

0

Ho scaricato il certificato del sito web di wikipedia. Poi ho eseguito

openssl x509 -text -in star.wikipedia.org.crt -inform PEM

e stampa molte cose. Qui sotto penso che tu possa trovare le informazioni rilevanti:

kai@MYHOST:~$ openssl x509 -text -in star.wikipedia.org.crt -inform PEM
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            11:21:a2:25:ba:04:02:d7:91:85:48:54:c8:ba:60:68:6a:9b
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=BE, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation CA - SHA256 - G2
        Validity
            Not Before: Dec 10 23:22:05 2015 GMT
            Not After : Dec 10 22:46:04 2016 GMT
====>  Subject: C=US, ST=California, L=San Francisco, O=Wikimedia Foundation, Inc., CN=*.wikipedia.org
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub: 
                    04:cb:db:d0:46:41:79:b8:d3:6e:2e:c8:5c:32:d3:
                    f7:82:44:c4:5b:6d:36:51:1b:e6:8f:29:34:92:fe:
                    7c:32:65:8f:23:fd:18:82:b2:35:40:13:fd:7a:c1:
                    ce:c8:3a:da:52:19:93:10:0b:aa:59:1a:f0:f3:8b:
                    ef:dc:7b:0b:fd
                ASN1 OID: prime256v1
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.2.2
                  CPS: https://www.globalsign.com/repository/

            X509v3 Subject Alternative Name:
[...Snip...]

Ho segnato la sezione pertinente. Dice sostanzialmente

Country = US
State = California
Location = San Francisco
Organization = Wikimedia Foundation, Inc.
Common Name=*.wikipedia.org

Puoi fare lo stesso con il tuo vecchio certificato e poi sai esattamente cosa devi inserire nel CSR.
Lo scopo di questo è fornire una descrizione dell'identità che l'AC può garantire. Il formato per descrivere l'identità è preso dallo standard di directory X.500 che utilizza i token C, L, OU, ecc.
Probabilmente è una buona idea inserire gli stessi valori del certificato precedente. Nel caso in cui il nome o la sede della società siano cambiati e si desideri riflettere sul nome X.500, la CA probabilmente inizierà un qualche tipo di processo per verificare che il nuovo nome sia accurato ...

    
risposta data 04.10.2016 - 10:12
fonte
1

CN e SAN contano entrambi, in quanto vi sono RFI che richiedono la corrispondenza dell'identificatore. Ad esempio, per TLS RFC 6125. Quindi sii consapevole di questi. Per altri campi è meno importante, quindi copia quello che hai nel tuo vecchio certificato.

Prima di generare CSR, ti consiglio di verificare di avere una chiave 2048-bit o migliore. Puoi farlo eseguendo:

$ openssl x509 -in public.pem -text -noout | grep "RSA Public Key" RSA

Inoltre, prendi in considerazione l'inclusione delle estensioni basicConstraints e extendedKeyUsage .

    
risposta data 04.10.2016 - 15:10
fonte
0

Tutto questo può essere estratto dal tuo certificato precedente, semplicemente utilizzando la funzione Visualizza certificato nel tuo browser preferito, dopo aver visitato l'URL https del tuo sito.

Tuttavia, l'unico che conta davvero è il nome comune. Questo è il nome di dominio che deve essere protetto.

Tutti gli altri possono cambiare ad ogni rinnovo.

Se disponi di domini SAN (nomi di domini alternativi, vedi questa domanda per un'immagine di esempio) quindi quelli dovranno essere configurati, ma questo è un argomento per una domanda diversa.

Non penso che dovresti usare una password di verifica. Non ho sentito di questo utilizzo in un CSR.

    
risposta data 04.10.2016 - 15:37
fonte

Leggi altre domande sui tag