Поколение сертификата: базируйтесь приблизительно нуждался каждый раз?

Вам, вероятно, следует немного почитать о том, как обычно развертывается PKI для некоторой предыстории.

Связанный документ проходит через создание вашего собственного корневого центра сертификации (CA). Как только вы это сделаете, вы будете использовать этот ЦС для подписания и регистрации сертификатов для отдельных устройств (или для подписания сертификата для промежуточного ЦС - возможно, за пределами ваших потребностей).

Вы не хотите распространения корней CA. Обычно вы создаете один корень и используете его для подписи сертификатов для устройств.

Общий рабочий процесс после развертывания корневого центра сертификации:

• Создать пару открытого и закрытого ключей на хосте, которому нужен сертификат.
• Создать запрос на подпись сертификата (CSR) на хосте, которому нужен сертификат
• Отправить CSR в корень CA для подписи
• Возьмите сертификат, который Корень CA возвращается и устанавливает его на устройстве или хосте

В этом документе, который вы связали, описывается Создание запроса на подпись сертификата , но на самом деле он не описывает, что это процесс, который вы обычно выполняете из устройство / хост, запрашивающий сертификат.

Вы можете создавать пары открытого / закрытого ключей и CSR на устройстве / хосте, но, возможно, наиболее безопасный способ сделать это - на самом устройстве / хосте, поскольку закрытый ключ никогда не покидает устройство.

Из OpenSSL клиент, например, вот как я бы подготовил запрос на подпись сертификата (CSR) для 4096-битного ключа RSA:

• openssl req -out Signing_Request.csr -new -newkey rsa: 4096 -nodes -keyout private.key

На веб-сервере IIS я бы использовал встроенный графический интерфейс «Мастер» для подготовки нового CSR. Другое программное обеспечение будет иметь другие методы подготовки CSR.

Как только у меня будет CSR, я отправлю его в CA и, как описано в документе, на который вы ссылаетесь в разделе Подписание сертификата , Я бы попросил ЦС подписать запрос и установить полученный сертификат на запрашивающее устройство / хост.

В качестве дополнения: вы обычно распространяете свой сертификат ЦС по всему предприятию, чтобы клиенты могли проверять подписи, которые ставит ваш ЦС. сертификаты и для предотвращения предупреждений о сертификатах, исходящих от ненадежного центра сертификации.

На веб-сервере IIS я бы использовал встроенный графический интерфейс «Мастер» для подготовки нового CSR. Другое программное обеспечение будет иметь другие методы подготовки CSR.

Как только у меня будет CSR, я отправлю его в CA и, как описано в документе, на который вы ссылаетесь в разделе Подписание сертификата , Я бы попросил ЦС подписать запрос и установить полученный сертификат на запрашивающее устройство / хост.

В качестве дополнения: вы обычно распространяете свой сертификат ЦС по всему предприятию, чтобы клиенты могли проверять подписи, которые ставит ваш ЦС. сертификаты и для предотвращения предупреждений о сертификатах, исходящих от ненадежного центра сертификации.

На веб-сервере IIS я бы использовал встроенный графический интерфейс «Мастер» для подготовки нового CSR. Другое программное обеспечение будет иметь другие методы подготовки CSR.

Как только у меня будет CSR, я отправлю его в CA и, как описано в документе, на который вы ссылаетесь в разделе Подписание сертификата , Я бы попросил ЦС подписать запрос и установить полученный сертификат на запрашивающее устройство / хост.

В качестве дополнения: вы обычно распространяете свой сертификат ЦС по всему предприятию, чтобы клиенты могли проверять подписи, которые ставит ваш ЦС. сертификаты и для предотвращения предупреждений о сертификатах, исходящих от ненадежного центра сертификации.