是否有必要在托管我的 Web 应用程序和 SSL 证书的同一台机器上生成 CSR(证书签名请求)?
这SSL Shopper 页面这么说吧,但我不确定是否真的如此,因为这意味着我必须为集群中的每台服务器购买单独的 SSL 证书。
什么是 CSR?CSR 或证书签名请求是在将使用证书的服务器上生成的加密文本块。
答案1
否。无需在要托管生成的证书的机器上生成 CSR。CSR做需要使用证书最终与之配对的现有私钥来生成,或者作为 CSR 创建过程的一部分生成其匹配的私钥。
重要的不是发起主机,而是私钥和得到的公钥是否匹配。
答案2
kce 完全正确,它绝对不需要在同一台机器上完成,但它确实需要从相关的私钥完成。
我发布第二个答案的唯一原因是因为没有人说过为什么您可能想要这样做。我生成的几乎每个密钥/CSR 集都是从我的笔记本电脑或台式机上完成的,然后将密钥安全地复制到将安装证书的服务器上,并将 CSR 发送给签名机构。原因是熵:SSL 证书通常用于保护服务器,而服务器的熵池通常很浅,这会削弱它们创建的密钥对或使创建时间很长。另一方面,台式机有一个通过键盘/鼠标电缆连接的有用随机源,因此往往具有深熵池。因此,它们为需要高质量随机数的操作提供了更好的平台,密钥对生成就是其中一个目的。
因此,不仅可以在服务器外生成密钥/CSR,而且我发现这样做常常有充分的理由。