Что такое пароль для вызова?

Я настраиваю SSL на сервере Ubuntu. Одним из полей, которые он запрашивает как часть настройки CSR, является «пароль для запроса». Что это? Значение по умолчанию - пустое. Нужно ли вводить один?

149 голосов | спросил Will Martin 4 Maypm11 2011, 18:34:49

1 ответ


134

Запрошенный пароль, запрошенный как часть генерации CSR, отличается от парольной фразы, используемой для шифрования секретного ключа (, запрошенного в момент генерации ключа или когда незашифрованный ключ позже зашифровывается, а затем запрашивается снова каждый раз, когда служба с поддержкой SSL, которая его использует, запускается ).

Вот генерируемый ключ и начало сгенерированного ключа:

[madhatta @ anni tmp] $ openssl genpkey -algorithm rsa -out foo.key
............ ++++++
... ++++++
[madhatta @ anni tmp] $ head -3 foo.key
----- НАЧАТЬ ЧАСТНЫЙ КЛЮЧ -----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy //R /S
Ик /gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

У этого ключа нет кодовой фразы. Я не был вызван на создание при создании и не вошел в один. Теперь давайте сгенерируем зашифрованный ключ:

[madhatta @ anni tmp] $ openssl genpkey -algorithm rsa -des3 -out bar.key
........................................... ++++++
..................................... ++++++
Введите фразу:
Проверка - введите фразу:
[madhatta @ anni tmp] $ head -3 bar.key
----- НАЧАТЬ ENCRYPTED ЧАСТНЫЙ КЛЮЧ -----
MIICxjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQInfwj1iv3icMCAggA
MBQGCCqGSIb3DQMHBAizMHBklBexiwSCAoDtRKf1WtMiVMH7HraGTIG0rlQS6Xuj

Таким образом, должно быть понятно, что зашифрованный закрытый ключ (какой apache или любой другой сервер, поддерживающий SSL) потребуется для его разблокировки при запуске) и закрытый ключ открытого текста (который не требует разблокировки в момент запуска службы ) выглядит как. Теперь я создам CSR с паролем с запросом из незашифрованного :

[madhatta @ anni tmp] $ openssl req -new -key foo.key
Вас попросят ввести информацию, которая будет включена
в ваш запрос сертификата.
То, что вы собираетесь ввести, - это то, что называется Distinguished Name или DN.
Есть довольно много полей, но вы можете оставить некоторые пробелы
Для некоторых полей будет значение по умолчанию,
Если вы введете «.», Поле останется пустым.
-----
Название страны (2-буквенный код) [XX]:
Название штата или провинции (полное название) []:
Название местности (например, город) [Город по умолчанию]:
Название организации (например, компания) [Компания по умолчанию:
Название организационной единицы (например, раздел) []:
Общее имя (например, ваше имя или имя хоста вашего сервера) []:
Адрес электронной почты []:

Введите следующие дополнительные атрибуты
для отправки с вашим запросом сертификата
Пароль с запросом []: asdfasdf
Дополнительное название компании []:
----- НАЧАТЬ ЗАПРОС СЕРТИФИКАТА -----
MIIBmzCCAQQCAQAwQjELMAkGA1UEBhMCWFgxFTATBgNVBAcMDERlZmF1bHQgQ2l0
eTEcMBoGA1UECgwTRGVmYXVsdCBDb21wYW55IEx0ZDCBnzANBgkqhkiG9w0BAQEF
AAOBjQAwgYkCgYEAn2M0Abg2jL /+ v9J54r + ASAY5XQFmbQJiaBJAaPg /o3dwmw + U
awbzSopPFMXCgSJeczcFV4GkN1eEYq2Cmam3tH6t8mVDh0 /UryJSWBsaFm9mh9RF
gIpP0hEkYZTf /0X + X06ukt9S /Id9Z /tVgPsZA3TcNjNhJfVaTm81 /4ykq8UCAwEA
AaAZMBcGCSqGSIb3DQEJBzEKDAhhc2RmYXNkZjANBgkqhkiG9w0BAQUFAAOBgQCa
ivuDRBlHOhBjg6wPbH9NvCnvEnxeEAkYi0Sl /Grdo /WCk17e + sv9wgqEW1QSIdbV
XzMeWidurv4AtcATwhfk9tBcYBCTxANkTONzhJG7Yk9OAz8g8Ljo8EEvPf4oHqpw
tBg10DCD2op0lCwL2LBdPO3RG20f /HD6fEXPVxZdOQ ==
----- ЗАВЕРШЕНИЕ СЕРТИФИКАТА КОНЕЦ -----

И просто чтобы показать, что ключ не волшебным образом зашифрован:

[madhatta @ anni tmp] $ head -3 foo.key
----- НАЧАТЬ ЧАСТНЫЙ КЛЮЧ -----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy //R /S
Ик /gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

Итак, я снова говорю: «пароль запроса», запрошенный как часть генерации CSR, не - то же самое, что и парольная фраза, используемая для шифрования секретного ключа. «Контрольный пароль» - это, в основном, общий секретный ключ между вами и сертификатом SSL-сертификатов (aka Certification Authority или CA), встроенным в CSR, который эмитент может использовать для аутентификации, если это потребуется. Некоторые сертификаты SSL-сертификатов делают это более четким, чем другие; посмотрите в нижней части этой страницы , чтобы см., где они говорят, пароль запроса необходим - это не при перезапуске apache:

  

Если вы решите ввести и использовать пароль для запроса, вам понадобится   чтобы вы сохранили этот пароль в безопасном месте. если ты   когда-либо нужно переустанавливать сертификат по какой-либо причине, вы будете   требуется ввести этот пароль.

ответил MadHatter 4 Maypm11 2011, 19:29:49

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132