SSL 인증서를 호스팅 할 서버에서 CSR을 생성해야합니까?


54

웹 응용 프로그램과 SSL 인증서를 호스팅하는 동일한 컴퓨터에서 CSR (인증서 서명 요청)을 생성해야합니까?

SSL Shopper 의이 페이지 는 그렇게 말하지만 그것이 사실인지 확실하지 않습니다. 클러스터의 각 서버마다 별도의 SSL 인증서를 구입해야하기 때문입니다.

CSR이란 무엇입니까? CSR 또는 인증서 서명 요청은 인증서가 사용될 서버에서 생성되는 암호화 된 텍스트 블록입니다.


1
"서버"라는 단어의 다른 의미를 혼동하고 있습니다. " 내 클러스터의 각 서버 "라고 말할 때 "서버"란 실제 상자를 의미합니다. " 인증서가 사용될 서버 에서"라고 말하면 물리적 상자이든 아니든 서비스를 제공하는 것을 의미합니다. (CSR을 생성 할 때 CA로 전송하기 전에 해당 개인 키가 어디에 있는지 정확히 100 % 알고 있어야합니다. 인증서가 없으면 인증서가 쓸모가 없습니다.)
David Schwartz

답변:


61

아니요. 결과 인증서를 호스트하려는 머신에서 CSR을 생성 할 필요는 없습니다. 사회 책임은 않습니다 중 인증서가 결국와 결합됩니다 또는 일치하는 개인 키가 CSR 생성 프로세스의 일부로서 생성되는 기존의 개인 키를 사용하여 생성 될 필요가있다.

중요한 것은 원래 호스트가 아니라 개인 키와 결과 공개 키가 일치하는 쌍입니다.


8
그리고 개인 키는 비밀로 유지 됩니다. 어디에서나 복사하고 동료에게 이메일로 보내서 CSR을 생성하도록 요청하지 마십시오.
Ladadadada

4
키 + 인증서를 특정 컴퓨터에서의 사용으로 제한하는 요인 은 고유성뿐만 아니라 DNS (호스트 이름이 cn 또는 SubjectAltName 필드 와 일치해야 함 )입니다. 여러 서버에서 동일한 개인 키를 사용하면 더 높은 위험 프로필이 생성 될뿐만 아니라 소프트웨어가 동일한 일련 번호를 사용하여 여러 호스트를 감지하는 경우가 있습니다. (좋은 이유가있다)
Andrew B

(또한 답변에 동의합니다. "클라이언트 인식 호스트 이름"이라고 말 했어야합니다.)
Andrew B

26

kce는 죽었으므로 동일한 컴퓨터에서 수행 할 필요는 없지만 관련 개인 키로 수행해야합니다.

두 번째 답변을 게시하는 유일한 이유는 아무도 그런 일을하고 싶을 말하지 않았기 때문 입니다. 내가 생성하는 거의 모든 키 / CSR 세트는 랩톱 또는 데스크탑에서 이루어지며 키는 인증서가 설치 될 서버로 안전하게 복사되고 CSR은 서명 기관으로 전송됩니다. 그 이유는 엔트로피입니다. SSL 인증서는 일반적으로 서버를 보호하는 데 사용되며 서버에는 종종 매우 얕은 엔트로피 풀이있어 생성 된 키 쌍을 약화 시키거나 생성 시간이 오래 걸립니다. 반면 데스크탑은 키보드 / 마우스 케이블을 통해 연결된 유용한 임의 소스를 가지므로 엔트로피 풀이 깊습니다. 따라서 고품질 난수를 필요로하는 키 플랫 생성과 같은 고품질 난수를 필요로하는 작업을위한 훨씬 더 나은 플랫폼을 만듭니다.

따라서 키 / CSR을 서버 외부에서 생성 할 수있을뿐만 아니라 그럴만한 이유가 자주 있습니다.


2
인간의 위험은 엔트로피 위험보다 크다고 생각합니다. 데스크톱에는 OS 및 자산 관리 정책에 따라 많은 위험이 따릅니다. 관련 관리자의 관행에 신경 쓰지 마십시오. (암호화되지 않은 개인 키인 경우 하드 드라이브 섹터가 삭제 전에 파쇄되고 있습니까? 사용자가 키를 노출시킬 위험이 있는가? PKI는 많은 사람들이 끝까지 이해하는 것을 신뢰하지 않는 것들 중 하나입니다. , 인간의 실수 요소를 신경 쓰지 않기 때문에 "자주 그렇게하는 좋은 이유"가 있다는 진술에 의문을 제기합니다. 그렇지 않으면 흥미로운 점입니다.
Andrew B

특히 키 쌍 생성을위한 모범 사례 목록으로 바꾼 경우에는 모두 합리적인 질문입니다. 이것을 정말로 진지하게 고려 하려는 사람들을 위해 serverfault.com/questions/307896/에 훌륭한 제안이 있습니다 -질문은 CA 생성 및 처리에 관한 것이지만, 이러한 아이디어 중 다수는 키 페어의 모범 사례로 채택 될 수 있습니다 세대.
MadHatter

이제 공평합니다. 감사합니다. 나는 그것을 모범 사례 진술로 해석하는 데 관련된 위험을 이해하지 못하는 계급 및 파일 관리자에게는 위험하므로 일종의 고지 사항이 필요하다고 느꼈습니다. 열쇠를 훔칠 수 있다면 게임이 끝난 것입니다.
Andrew B
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.