Les RSC doivent-ils être générés sur le serveur qui hébergera le certificat SSL?

54

Est-il nécessaire de générer la CSR (demande de signature de certificat) sur le même ordinateur qui hébergera mon application Web et mon certificat SSL?

Cette page sur SSL Shopper le dit, mais je ne suis pas sûr que ce soit le cas, cela voudrait dire que je devrais acheter un certificat SSL distinct pour chaque serveur de mon cluster.

Qu'est-ce qu'un CSR? Une demande de signature de certificat ou de signature de certificat est un bloc de texte chiffré généré sur le serveur sur lequel le certificat sera utilisé.

ssl ssl-certificate csr

— Mike M. Lin
source

1

Vous confondez différentes significations du mot "serveur". Lorsque vous dites "chaque serveur de mon cluster", par "serveur", vous entendez une boîte physique. Lorsqu'ils disent "sur le serveur sur lequel le certificat sera utilisé", ils désignent une chose qui fournit un service, que ce soit une boîte physique ou non. (Lorsque vous générez une CSR, avant de l'envoyer à une autorité de certification, assurez-vous à 100% que vous savez exactement où se trouve la clé privée correspondante. Le certificat sera inutile sans cette clé.)

— David Schwartz

61

Non. Il n'est pas nécessaire de générer le CSR sur la machine sur laquelle vous souhaitez héberger le certificat obtenu. La RSE fait besoin d'être générées soit avec la clé privée existante que le certificat sera finalement jumelé avec ou sa correspondance clé privée est générée dans le cadre du processus de création de la RSE.

Ce qui est important, ce n'est pas tant l'hôte d'origine que la clé privée et la clé publique résultante forment une paire correspondante.

8

Et que la clé privée reste privée . Ne vous contentez pas de la copier un peu partout, puis envoyez-la par e-mail à votre partenaire et demandez-lui de générer le rapport de sécurité requis pour vous.

— Ladadadada

4

Le facteur qui limite l'utilisation de la clé + cert à une machine spécifique est DNS (le nom d'hôte doit correspondre au champ cn ou à un champ SubjectAltName ), ainsi que son caractère unique. Non seulement l’utilisation de la même clé privée avec plusieurs serveurs crée-t-elle un profil de risque plus élevé, mais les logiciels qui en paniquent détectent parfois plusieurs hôtes utilisant le même numéro de série. (avec une bonne raison)

— Andrew B

(De plus, je suis d'accord avec la réponse, j'aurais dû le qualifier de "nom d'hôte perçu par le client")

— Andrew B

26

kce est absolument bon, cela n'a absolument pas besoin d'être fait sur la même machine, mais cela doit être fait à partir de la clé privée appropriée.

La seule raison pour laquelle je poste une deuxième réponse est que personne n'a dit pourquoi vous pourriez vouloir faire une telle chose. Presque chaque jeu de clés / CSR que je génère est effectué à partir de mon ordinateur portable ou de mon bureau, puis la clé est copiée de manière sécurisée sur le serveur sur lequel le certificat sera installé, et la CSR est envoyée à l'agence de signature. L'entropie en est la raison: les certificats SSL sont généralement utilisés pour sécuriser les serveurs et les serveurs ont souvent des pools d'entropie très peu profonds, ce qui affaiblit les paires de clés qu'ils créent ou rend la création très longue. Les ordinateurs de bureau, en revanche, ont une source utile d’aléatoire connecté via des câbles clavier / souris et ont donc tendance à avoir des pools d’entropie profonde. Ils constituent donc de bien meilleures plates-formes pour les opérations nécessitant des nombres aléatoires de haute qualité, la génération de paires de clés en étant une.

Ainsi, non seulement la clé / CSR peut être générée hors serveur, mais je trouve qu'il y a souvent une bonne raison de le faire.

— MadHatter soutient Monica
source

2

Je considère le risque humain comme plus grand que le risque d'entropie. Les ordinateurs de bureau ont également une pléthore de leurs propres risques en fonction du système d’exploitation et de la politique de gestion des actifs, sans tenir compte des pratiques des administrateurs impliqués. (les secteurs de disque dur sont-ils déchiquetés avant d'être supprimés s'il s'agit d'une clé privée non chiffrée? Les pratiques de l'utilisateur risquent-elles jamais d'exposer la clé?) L'infrastructure à clé publique (PKI) est l'une de ces choses que je ne crois pas que beaucoup de gens comprendront de bout en bout Peu importe l’erreur humaine, j’interroge donc l’affirmation selon laquelle «il existe souvent une bonne raison de le faire». Sinon, un point intéressant.

— Andrew B

Ce sont toutes des questions raisonnables, surtout si elles sont transformées en une liste de meilleures pratiques pour la génération de clés numériques. Pour ceux qui veulent prendre cela très au sérieux, il existe d'excellentes suggestions à l' adresse serverfault.com/questions/307896/… - la question concerne la génération et la gestion de l'autorité de certification, mais bon nombre de ces idées peuvent également être adoptées pour la meilleure pratique en matière de keypair. génération.

— MadHatter soutient Monica le

C'est juste maintenant, merci. Je pensais simplement qu'il devait y avoir une sorte de décharge de responsabilité, car il est dangereux pour les administrateurs de base qui ne comprennent pas les risques encourus de l'interpréter comme une déclaration de meilleure pratique. Si la clé peut être volée, la partie est terminée.

— Andrew B