¿Es necesario generar la CSR (Solicitud de firma de certificado) en la misma máquina que alojará mi aplicación web y mi certificado SSL?
Esta página en SSL Shopper lo dice, pero no estoy seguro de si eso es cierto, porque significaría que tendría que comprar un certificado SSL por separado para cada servidor en mi clúster.
¿Qué es una RSE? Una solicitud de firma de certificado o CSR es un bloque de texto cifrado que se genera en el servidor en el que se utilizará el certificado.
ssl
ssl-certificate
csr
Mike M. Lin
fuente
fuente
Respuestas:
No. No es necesario generar la CSR en la máquina en la que desea alojar el certificado resultante. La RSE hace necesario que se genere, ya sea utilizando la clave privada existente que el certificado se empareja con el tiempo o su clave privada correspondiente se genera como parte del proceso de creación de la RSC.
Lo importante no es tanto el host de origen sino que la clave privada y la clave pública resultante son un par coincidente.
fuente
kce tiene toda la razón, no es necesario hacerlo en la misma máquina, pero sí desde la clave privada correspondiente.
La única razón por la que estoy publicando una segunda respuesta es porque nadie dijo por qué querrías hacer algo así. Casi todos los conjuntos de claves / CSR que genero se realizan desde mi computadora portátil o de escritorio, luego la clave se copia de forma segura en el servidor donde se instalará el certificado, y el CSR se envía a la agencia firmante. La razón es la entropía: los certificados SSL se usan generalmente para proteger los servidores, y los servidores a menudo tienen grupos de entropía muy poco profundos, lo que debilita los pares de claves que crean o hace que la creación tarde mucho tiempo. Las computadoras de escritorio, por otro lado, tienen una fuente útil de aleatoriedad conectada a través de cables de teclado / mouse y, por lo tanto, tienden a tener grupos de entropía profunda. Por lo tanto, hacen plataformas mucho mejores para operaciones que requieren números aleatorios de alta calidad, siendo la generación de pares de claves una de ellas.
Entonces, no solo se puede generar la clave / CSR fuera del servidor, sino que también encuentro que hay una buena razón para hacerlo.
fuente