Windows Server 2008 R2에서 IIS 7.5를 통해 CSR을 생성하면 항상 새 개인 키가 생성됩니까?


11

Windows 2008 R2 서버에 대한 CSR을 생성하고 CSR에 사용 된 개인 키가 새 것인지 확인해야합니다.

테스트를 위해 자체 서명 인증서를 작성하기 전에 OpenSSL을 사용해 왔으며 올바르게 기억하는 경우 사용할 개인 키를 지정할 수있었습니다.

IIS 서버 인증서에서 개인 키를 생성하거나 선택하라는 메시지가 표시되지 않습니다.

그렇다면 Windows 기반 서버에서 CSR을 생성하면 항상 새 개인 키를 생성합니까? 그렇지 않은 경우 새 개인 키를 작성 / 사용하려면 어떻게해야합니까?


1
개인 키를 의미 합니까?
EEAA

1
예, 감사합니다. 지금 수정하십시오. 저는 sysadmin 이전의 개발자이므로 기본 키가 먼저 내 머리에서 나왔습니다. :)
jzimmerman2011

CSR을 생성하거나 인증서를 생성 하시겠습니까? 정확히 무엇을하고 있으며 어떻게하고 있습니까? (차이가 있습니다.)
HopelessN00b

인증서를 만들기 위해 CA에 제공되는 CSR을 생성 중입니다. 이것은 IIS를 통해 수행되며 서버 인증서 인터페이스입니다.
jzimmerman2011

답변:


8

"인증서 요청 작성"마법사는 자동으로 새 키 페어를 생성합니다.

IIS 서버 인증서에서 개인 키를 생성하거나 선택하라는 메시지가 표시되지 않습니다.

이것은 실제로 사실이 아닙니다-마법사는 그것에 대해 분명하지 않습니다.

신원 정보 (공통 이름, 지역, 조직 등)를 입력하고 "다음"을 누르면 두 번째 화면에 두 가지 사항이 표시됩니다.

  1. 암호화 서비스 제공자 (CSP)
  2. 비트 길이

여기에 이미지 설명을 입력하십시오

기본 CSP (Microsoft RSA SChannel CSP)와 비트 길이 2048을 선택하면 Windows는 다음과 같습니다.

openssl req -new -newkey rsa:2048

서명 요청의 해부학

CSR 자체는 3 개의 "부분"을 갖는 것으로 생각할 수 있습니다.

  1. 일반 텍스트로 된 신원 정보 (CN, 지역, 조직 등)
    • 이것은 단순히 문자열이며 서명 인 (CA)은 마음대로 변경할 수 있습니다.
  2. 공개 키
    • 서버에 해당 개인 키가 필요합니다
  3. 선택적 확장 필드
    • 여전히 명확한 텍스트 정보

발급자는 서명 요청의 정보를 검토하고 (1) 및 (3)의 내용을 변경할 수 있습니다.
그런 다음 발급자는 CA 개인 키 를 사용하여 요청자 공개 키를 암호화합니다 (2).

최종 인증서가 발급되면 다음이 포함됩니다.

  1. 일반 텍스트로 된 신원 정보 (CN, 지역, 조직 등)
    • 이제 발급자 정보가 추가되었습니다
  2. 공개 키
    • 여전히 위와 동일
  3. 선택적 확장 필드
    • 이제 발급자 확장 필드가있을 수 있습니다.
  4. 서명 블롭
    • 이것은 CA의 개인 키로 서명 된 공개 키입니다

다음에 클라이언트가 인증서를 제시하면 발급자 CA의 공개 키 를 사용하여 서명 Blob (4)의 암호를 해독하고이를 인증서의 공개 키와 비교할 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.