¿Se deben generar CSR en el servidor que alojará el certificado SSL?

54

¿Es necesario generar la CSR (Solicitud de firma de certificado) en la misma máquina que alojará mi aplicación web y mi certificado SSL?

Esta página en SSL Shopper lo dice, pero no estoy seguro de si eso es cierto, porque significaría que tendría que comprar un certificado SSL por separado para cada servidor en mi clúster.

¿Qué es una RSE? Una solicitud de firma de certificado o CSR es un bloque de texto cifrado que se genera en el servidor en el que se utilizará el certificado.

Mike M. Lin
fuente
1
Estás confundiendo diferentes significados de la palabra "servidor". Cuando dice "cada servidor en mi clúster", por "servidor" se refiere a un cuadro físico. Cuando dicen "en el servidor en el que se usará el certificado", se refieren a algo que proporciona un servicio, ya sea una caja física o no. (Cuando genere una CSR, antes de enviarla a una CA, asegúrese al 100% de saber exactamente dónde está la clave privada correspondiente. El certificado será inútil sin ella.)
David Schwartz

Respuestas:

61

No. No es necesario generar la CSR en la máquina en la que desea alojar el certificado resultante. La RSE hace necesario que se genere, ya sea utilizando la clave privada existente que el certificado se empareja con el tiempo o su clave privada correspondiente se genera como parte del proceso de creación de la RSC.

Lo importante no es tanto el host de origen sino que la clave privada y la clave pública resultante son un par coincidente.


fuente
8
Y que la clave privada sigue siendo privada . No solo vayas a copiarlo por todas partes y luego envíalo por correo electrónico a tu compañero y pídele que genere el csr por ti.
Ladadadada
44
El factor que limita la clave + cert al uso con una máquina específica es DNS (el nombre de host debe coincidir con el cn o un campo SubjectAltName ), así como la unicidad. El uso de la misma clave privada con varios servidores no solo crea un perfil de riesgo más alto, sino que el software ocasionalmente asustará al detectar múltiples hosts que usan el mismo número de serie. (con buena razón)
Andrew B
(también, estoy de acuerdo con la respuesta, debería haberlo redactado como "nombre de host percibido por el cliente")
Andrew B
26

kce tiene toda la razón, no es necesario hacerlo en la misma máquina, pero sí desde la clave privada correspondiente.

La única razón por la que estoy publicando una segunda respuesta es porque nadie dijo por qué querrías hacer algo así. Casi todos los conjuntos de claves / CSR que genero se realizan desde mi computadora portátil o de escritorio, luego la clave se copia de forma segura en el servidor donde se instalará el certificado, y el CSR se envía a la agencia firmante. La razón es la entropía: los certificados SSL se usan generalmente para proteger los servidores, y los servidores a menudo tienen grupos de entropía muy poco profundos, lo que debilita los pares de claves que crean o hace que la creación tarde mucho tiempo. Las computadoras de escritorio, por otro lado, tienen una fuente útil de aleatoriedad conectada a través de cables de teclado / mouse y, por lo tanto, tienden a tener grupos de entropía profunda. Por lo tanto, hacen plataformas mucho mejores para operaciones que requieren números aleatorios de alta calidad, siendo la generación de pares de claves una de ellas.

Entonces, no solo se puede generar la clave / CSR fuera del servidor, sino que también encuentro que hay una buena razón para hacerlo.

MadHatter
fuente
2
Veo el riesgo humano como mayor que el riesgo de entropía. Los equipos de escritorio también tienen una gran cantidad de sus propios riesgos, dependiendo del sistema operativo y la política de administración de activos, sin importar las prácticas de los administradores involucrados. (¿se destruyen los sectores del disco duro antes de la eliminación si se trata de una clave privada sin cifrar? ¿La práctica del usuario corre el riesgo de exponer la clave?) PKI es una de esas cosas en las que no confío que mucha gente entienda de principio a fin , no importa el elemento de error humano, por lo que cuestiono la afirmación de que existe "con frecuencia una buena razón para hacerlo". De lo contrario, un punto interesante.
Andrew B
Esas son todas preguntas razonables, especialmente si se convierten en una lista de mejores prácticas para la generación de pares de claves. Para aquellos que quieran tomar esto realmente en serio, hay algunas sugerencias excelentes en serverfault.com/questions/307896/… : la pregunta es sobre la generación y el manejo de CA, pero muchas de esas ideas también se pueden adoptar para la mejor práctica en el par de claves Generacion.
MadHatter
Eso es justo ahora, gracias. Simplemente sentí que tenía que haber algún tipo de descargo de responsabilidad, ya que es peligroso para los administradores de rango y archivos que no entienden los riesgos involucrados interpretar eso como una declaración de mejores prácticas. Si se puede robar la llave, se acabó el juego.
Andrew B