Ssl

必須在託管 SSL 證書的伺服器上生成 CSR?

  • January 14, 2020

是否有必要在託管我的 Web 應用程序和 SSL 證書的同一台機器上生成 CSR(證書籤名請求)?

SSL Shopper 上的這個頁面是這麼說的,但我不確定這是否屬實,因為這意味著我必須為集群中的每台伺服器購買單獨的 SSL 證書。

**什麼是企業社會責任?**CSR 或證書籤名請求是在將使用證書的伺服器上生成的加密文本塊。

否。不必在您要託管生成的證書的機器上生成 CSR。CSR確實需要使用證書最終將與之配對的現有私鑰生成,或者其匹配的私鑰是作為 CSR 創建過程的一部分生成的。

重要的不是原始主機,而是私鑰和生成的公鑰是一對匹配的。

kce 是完全正確的,它絕對不需要在同一台機器上完成,但它確實需要從相關的私鑰完成。

我發布第二個答案的唯一原因是因為沒有人說過你為什麼想做這樣的事情。我生成的幾乎每個密鑰/CSR 集都是從我的筆記型電腦或台式機上完成的,然後將密鑰安全地複製到將安裝證書的伺服器上,並將 CSR 發送給簽名機構。原因是熵:SSL 證書通常用於保護伺服器,並且伺服器通常具有非常淺的熵池,這會削弱它們創建的密鑰對或使創建需要很長時間。另一方面,台式機有一個有用的隨機源,通過鍵盤/滑鼠電纜連接,因此往往有很深的熵池。因此,它們為需要高質量隨機數的操作提供了更好的平台,密鑰對生成就是這樣的目的之一。

因此,不僅可以在伺服器外生成密鑰/CSR,而且我發現這樣做通常是有充分理由的。

引用自:https://serverfault.com/questions/471289