Сертификат, подписанный внутренним СА без CSR (запрос на подпись сертификата)

Question

Нам необходимо предоставить безопасный SSL на нашем сайте в интрасети. Может ли кто-нибудь, пожалуйста, помогите мне запрос ниже:

1. Можно ли получить сертификат внутреннего подписанного ЦС без CSR?
2. Если выше - Да, как генерировать Сертификат, подписанный Внутренним ЦС, без CSR.

Чего я пытаюсь достичь?

У нас нет настройки Production IIS. И производственный IIS будет только настроен во время окна изменения. Во время этого окна изменений нет доступных ресурсов для генерации подписанного СА сертификата. для данного CSR. Поэтому мы пытаемся создать сертификаты, подписанные CA, без необходимости настраивать Prod IIS.

Answer 1

Запрос на подпись сертификата (CSR) - это инструмент для включения третьей стороны в процесс создания сертификата без разглашения вашего личного ключа. По сути, это пакет закодированной информации (включая открытый ключ), который можно отправить третьей стороне для подписания. Третья сторона получает CSR, подписывает его своим промежуточным или корневым сертификатом и отправляет вам сертификат обратно. Ваш новый и блестящий файл сертификата теперь является парой ключей с вашим файлом закрытого ключа. Более того, третья сторона никогда не имела доступа к вашему личному ключу в течение всего процесса.

Теперь, чтобы ответить на ваш вопрос, да, это возможно. Не требуется участия третьей стороны. Это больше вопрос о том, как сделать это с помощью криптографической библиотеки по вашему выбору. Прочтите мой пост здесь , чтобы узнать, как запустить OpenSSL в Windows без прав администратора.

Создать новый ключ и сертификат

openssl req -newkey rsa:2048 -nodes -keyout [filepath to key] -x509 -out [filepath to cert]

Создать сертификат из существующего ключа

openssl req -key [filepath to key] -x509 -out [filepath to cert]

Answer 2

Вы можете использовать OpenSSL для создания CSR независимо от IIS (см. Команду req).