一位客户向我发送了一份 CSR 以及我托管的 Linux 服务器的证书 .CER。客户无权访问此计算机。
这些数据足以生成有效证书吗?是否可以从 .CSR 生成有效证书的 .KEY?
答案1
您无法从证书(签名的公钥)或证书签名请求中派生出私钥。如果您可以,加密将变得毫无用处。
答案2
仅凭 CSR(证书签名请求)就足以生成有效证书。CSR 包含证书的所有请求详细信息(主体名称、位置、组织等)以及公钥。但是,私钥存储在生成 CSR 的机器上(可能是需要证书的服务器,但不一定),并且不包含在 CSR 的内容中,并且不能从 CSR 中派生出来。它是保密的。
一般而言,生成 CSR 的服务器会生成一个密钥对(公钥和私钥)。然后,它会使用私钥打包请求的信息(包括公钥)并将其发送出去进行签名,并将私钥保存在单独的位置。