domanda di follow-up per la firma CSR

0

Questa è una domanda di follow-up, dopo aver ottenuto un certificato firmato da una CA.

Ho studiato molto, ma senza fortuna. Dopo aver ottenuto la risposta della CA, Durante il download del certificato, è apparso dicendo "creazione di una chiave privata" con passphrase.

  1. Perché sta chiedendo di creare una chiave privata? Qual è il suo uso? (Dì PK1)
  2. Durante la creazione del CSR, avevo già la chiave privata (SAY PK2). PK1 e PK2 sono gli stessi?
  3. Qualcuno della CA può anche averlo, come ho fatto io, quindi come non è vulnerabile ad attaccare?

Ho completato la procedura guidata e scaricato il certificato con PK1.

Ho fatto riferimento a tutti i possibili link sottostanti, ma non ottenendo risposte sopra

Link alla domanda precedente - post precedente

UPDATE 1

UPDATE 1

ricercato molto, per trovare le risposte della domanda pubblicate ma senza fortuna. Mi sto bloccando a questo punto, il certificato firmato da CA ha anche una chiave privata o è solo una chiave pubblica? Per quanto ne ho avuto "Un file P7B / pkcs7 contiene solo certificati e certificati di catena" che dobbiamo importare come "risposta CA" nel keystore esterno.

    
posta Pallab 07.03.2015 - 10:50
fonte

1 risposta

0

Il protocollo di base per ottenere un certificato emesso da una CA è il seguente:

  • Il richiedente genera una coppia di chiavi (una chiave privata e una chiave pubblica)
  • La chiave privata viene messa da parte e non dovrebbe mai lasciare il computer
  • Il richiedente genera una richiesta di firma del certificato (CSR) che contiene le informazioni di base che andranno nel certificato finale (nome distinto, paese, ...)
  • Il richiedente invia il CSR alla CA che lo verificherà (eventualmente contatta il richiedente per stabilire la sua identità)
  • Quando la CA ritiene che il CSR appartenga alla persona identificata, la CA emetterà un certificato che è in sostanza il CSR firmato dalla chiave privata della CA (più alcune informazioni per rintracciare la firma alla CA)
  • Il richiedente può ora utilizzare il certificato che incorpora la sua chiave pubblica firmata dalla CA per stabilire la comunicazione con i clienti.

Quindi, quando si importa il certificato firmato, non si dovrebbe creare alcuna chiave privata (si dovrebbe già averlo). È anche utile sapere che molti programmi che gestiscono la generazione di chiavi propongono anche di inserire la chiave privata in un file protetto. Questo file verrà crittografato (probabilmente AES) con una passphrase da fornire.

    
risposta data 09.03.2015 - 15:16
fonte