Domande CSR - Hanno importanza

Ho scaricato il certificato del sito web di wikipedia. Poi ho eseguito

openssl x509 -text -in star.wikipedia.org.crt -inform PEM

e stampa molte cose. Qui sotto penso che tu possa trovare le informazioni rilevanti:

kai@MYHOST:~$ openssl x509 -text -in star.wikipedia.org.crt -inform PEM
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            11:21:a2:25:ba:04:02:d7:91:85:48:54:c8:ba:60:68:6a:9b
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=BE, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation CA - SHA256 - G2
        Validity
            Not Before: Dec 10 23:22:05 2015 GMT
            Not After : Dec 10 22:46:04 2016 GMT
====>  Subject: C=US, ST=California, L=San Francisco, O=Wikimedia Foundation, Inc., CN=*.wikipedia.org
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub: 
                    04:cb:db:d0:46:41:79:b8:d3:6e:2e:c8:5c:32:d3:
                    f7:82:44:c4:5b:6d:36:51:1b:e6:8f:29:34:92:fe:
                    7c:32:65:8f:23:fd:18:82:b2:35:40:13:fd:7a:c1:
                    ce:c8:3a:da:52:19:93:10:0b:aa:59:1a:f0:f3:8b:
                    ef:dc:7b:0b:fd
                ASN1 OID: prime256v1
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.2.2
                  CPS: https://www.globalsign.com/repository/

            X509v3 Subject Alternative Name:
[...Snip...]

Ho segnato la sezione pertinente. Dice sostanzialmente

Country = US
State = California
Location = San Francisco
Organization = Wikimedia Foundation, Inc.
Common Name=*.wikipedia.org

Puoi fare lo stesso con il tuo vecchio certificato e poi sai esattamente cosa devi inserire nel CSR.
Lo scopo di questo è fornire una descrizione dell'identità che l'AC può garantire. Il formato per descrivere l'identità è preso dallo standard di directory X.500 che utilizza i token C, L, OU, ecc.
Probabilmente è una buona idea inserire gli stessi valori del certificato precedente. Nel caso in cui il nome o la sede della società siano cambiati e si desideri riflettere sul nome X.500, la CA probabilmente inizierà un qualche tipo di processo per verificare che il nuovo nome sia accurato ...

CN e SAN contano entrambi, in quanto vi sono RFI che richiedono la corrispondenza dell'identificatore. Ad esempio, per TLS RFC 6125. Quindi sii consapevole di questi. Per altri campi è meno importante, quindi copia quello che hai nel tuo vecchio certificato.

Prima di generare CSR, ti consiglio di verificare di avere una chiave 2048-bit o migliore. Puoi farlo eseguendo:

$ openssl x509 -in public.pem -text -noout | grep "RSA Public Key" RSA

Inoltre, prendi in considerazione l'inclusione delle estensioni basicConstraints e extendedKeyUsage .

Tutto questo può essere estratto dal tuo certificato precedente, semplicemente utilizzando la funzione Visualizza certificato nel tuo browser preferito, dopo aver visitato l'URL https del tuo sito.

Tuttavia, l'unico che conta davvero è il nome comune. Questo è il nome di dominio che deve essere protetto.

Tutti gli altri possono cambiare ad ogni rinnovo.

Se disponi di domini SAN (nomi di domini alternativi, vedi questa domanda per un'immagine di esempio) quindi quelli dovranno essere configurati, ma questo è un argomento per una domanda diversa.

Non penso che dovresti usare una password di verifica. Non ho sentito di questo utilizzo in un CSR.