CSR de IIS 8 et garder ma clé privée un secret
J'ai essayé de comprendre quelque chose. Lorsque vous générez une RSE de IIS, comment la clé privée est-elle conservée comme un secret, ou est-ce? Est-ce que l'e-mail de CA est un certificat qui inclut votre clé privée? Parce que rien ne semble me dire autrement, et personne ne devrait connaître votre clé privée, mais vous. Instructions pour générer un CSR à partir de IIS Typiquement va comme ceci: http://www.digicert.com/csr-creation-microsofe-iis-8.htm
A Certificat, correctement nommé, n'inclut pas une clé privée. Un certificat contient une clé Public et une identité et est signée par A autorité de certification. Malheureusement, un certain nombre de documentations généralisées utilisent le terme "certificat" pour désigner la combinaison d'un certificat et de la clé privée correspondante; Cela répand de confusion.
A Demande de certificat (appelé "CSR") contient uniquement la clé publique, pas la clé privée. Quand IIS Génère une RSE, elle génère une nouvelle paire de clés (clé publique et privée), puis enveloppe la clé publique dans la demande de certificat et la signale à l'aide de la clé privée. La clé privée fait ne pas aller nulle part; l'autorité de certification ne le voit jamais. Lorsque la CA reçoit la RSE, elle prend la clé publique de celle-ci, la met en certificat qu'il signe et renvoie à tout moment la clé privée ne quitte votre machine. C'est ainsi que les choses devraient être faites.
Maintenant Certains CA Insister sur la génération de la paire de clés privée/publique et d'envoyer à la fois la clé privée et le certificat. Cela rend les choses techniquement simples pour l'autorité de certification, mais implique des problèmes de sécurité potentiels, car la CA a également une copie de la clé privée, et la clé privée a de la sorte à vous rendre à vous. Habituellement, une archive PKCS n ° 12 (AKA "PFX Fichier") est utilisée, car ce format inclut une protection basée sur le mot de passe.
La génération de clé privée côté ca peut être une bonne idée lorsque la clé privée est utilisée pour crypter des données de manière permanente (par exemple une clé privée pour les courriels cryptés), car la perte de cette clé implique une perte de données. Ainsi, ce type de clé privée devrait être sauvegardé et le CA est un bel endroit central pour de telles sauvegardes. Cependant, cela ne s'applique pas à SSL, où la clé privée n'est utilisée que de manière transitoire pour l'établissement de la connexion. Par conséquent, lorsque le certificat est pour IIS, la génération de clé privée côté serveur doit être utilisée, et c'est ce que IIS fait.