Что CA (центр сертификации) предоставляет от CSR?
Мне нужен сертификат SSL для веб-сервера. Я могу создать самозаверяющий сертификат SSL с помощью следующих команд OpenSSL:
openssl req -newkey rsa:512 -x509 -days 365 -nodes -out cert.pem -keyout cert.pem
openssl dhparam -inform pem -in cert.pem -outform pem -out dhparam.pem 512
cat dhparam.pem >> cert.pem
Если я хочу иметь сертификат, подписанный CA, я могу сгенерировать CSR (запрос на подпись сертификата):
openssl req -newkey rsa:512 -nodes -out cert.csr -keyout cert.key
И отправить его в один ЦС. А потом? Мне интересно, что CA отправляет обратно: только сертификат или сертификат и параметры DH, поскольку они используются при согласовании между браузером и сервером?
3 ответа
Центр сертификации обычно просто берет открытый ключ в CSR и помещает его в сертификат со своими собственными параметрами DH.
На самом деле, openssl req достаточно для создания самозаверяющего сертификата. Параметры DH не нужны для работы с сертификатом SSL - или их можно найти в сертификате, созданном центром сертификации.
Таким образом, CA отправит обратно только файл сертификата (например, файл.crt), который должен использоваться вместе с закрытым ключом.
CA обычно отправляет обратно файл.PEM, который подписан с использованием закрытого ключа CA.