web-dev-qa-db-ja.com

CAはCSRなしで証明書を発行できますか?

私の質問は、CAが要求者に代わって秘密/公開キーペアを生成し、独自の秘密キーで署名できるかどうかです。

そのような証明書を配布する標準的な方法またはプロトコルはありますか?

p12形式は、秘密鍵と公開証明書を格納するために使用され、このファイルはパスワードで保護されています。これは、このサービスを提供するCAの一般的な方法ですか?

3
toni77

サーバーは自己署名証明書を使用して、サーバーを識別できます。クライアントは、サーバーのサービスに接続または使用するときに、この証明書を信頼する必要があります。

PKIインフラストラクチャでは、通常、ルート証明書がない限り、CAはキーペアを生成しません。クライアントと中間CAは独自の鍵ペアを生成し、CSRを使用してルート証明書に署名させます。 CA自体は秘密鍵を保持していないと信頼できるので、CA自体は証明書を生成しません。これにより、PKIインフラストラクチャが破壊されます。

Symantec/VerisignやGoDaddyなどのCAは、通常、キーペアを生成するサービスを提供していません。前段落の理由による。署名する証明書の情報をCSRに送信します。

詳細は ここに私の回答 を参照してください。

4
RoraΖ

通常、オフライン生成とオンライン生成の2種類のキー生成があります。

オフライン生成は、CAが鍵ペアを作成し、生成と発行の手段として信頼できる方法で相手に証明書を発行するようなものです。また、場合によっては、エンドユーザーまたはサブスクライバーはCSRとキーペアが何であるかを認識しません。この場合、CAは証明書を取得するためのユーザーフレンドリーなメカニズムを提供する必要があります。

オンライン生成は、CSRを入力として提供することにより、信頼できるサードパーティから証明書を取得するようなものです。ここで、ユーザーはセキュリティツールをよく知っています。

注:オフラインの場合、秘密鍵はCAにあります。彼が状況であるためにいつでもそれを使い逃すことができるか。また、本当の理由で、秘密鍵が盗まれて悪用された場合、CAを信頼できないものにする必要があります。したがって、CA側からのキー生成を回避することをお勧めします。

ほとんどのPKIインフラストラクチャでも、エンドユーザーやサブスクライバーが[OK]ボタンをクリックするだけでは気付かない場合でも、ブラウザーでキーペアを生成する柔軟性があります。

2
user45475