Qu'est-ce qu'un mot de passe de challenge?

Le "mot de passe de contestation" demandé dans le cadre de la génération de CSR est différent de la phrase secrète utilisée pour crypter la clé secrète ( demandée au moment de la génération de la clé, ou lorsqu'une clé en clair est plus tard cryptée - puis à nouveau demandée à chaque fois le service compatible SSL qui l'utilise démarre).

Voici une clé en cours de génération et le début de la clé générée:

$ openssl genpkey -algorithm rsa -out foo.key
............++++++
...++++++

$ head -3 foo.key
-----BEGIN PRIVATE KEY-----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy//r/S
eeK/gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

Cette clé n'a pas de phrase secrète. Je n'ai pas été invité à en créer un à la création et je n'en ai pas entré. Maintenant, générons une clé chiffrée:

$ openssl genpkey -algorithm rsa -des3 -out bar.key
...........................................++++++
.....................................++++++
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

$ head -3 bar.key
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIICxjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQInfwj1iv3icMCAggA
MBQGCCqGSIb3DQMHBAizMHBklBexiwSCAoDtRKf1WtMiVMH7HraGTIG0rlQS6Xuj

Il doit donc être clair à quoi ressemblera une clé privée chiffrée (à laquelle Apache ou tout autre serveur compatible SSL devra être déverrouillé au démarrage) et une clé privée en clair (qui ne nécessite pas de déverrouillage au démarrage du service). . Maintenant, je vais générer un CSR avec un mot de passe de défi à partir du non chiffré clé:

$ openssl req -new -key foo.key
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:asdfasdf
An optional company name []:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Et juste pour montrer que la clé n'est pas magiquement cryptée:

$ head -3 foo.key
-----BEGIN PRIVATE KEY-----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy//r/S
eeK/gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

Je répète donc: le "mot de passe de contestation" demandé dans le cadre de la génération de la CSR n'est pas pas la même chose qu'une phrase secrète utilisée pour crypter la clé secrète. Le "mot de passe de contestation" est fondamentalement un nonce secret partagé entre vous et l'émetteur du certificat SSL (alias Autorité de certification, ou CA), intégré dans la CSR, que l'émetteur peut utiliser pour vous authentifier si jamais cela était nécessaire. Certains émetteurs de certificats SSL rendent cela plus clair que d'autres; regardez en bas de cette page pour voir où ils disent que le mot de passe de défi est nécessaire - ce n'est pas lorsque vous redémarrez Apache :

Si vous choisissez d'entrer et d'utiliser un mot de passe de contestation, vous devrez vous assurer d'enregistrer ce mot de passe dans un endroit sûr. Si vous avez besoin de réinstaller votre certificat pour une raison quelconque, vous devrez entrer ce mot de passe.