निजी चाबी

यह सबसे लगातार प्रश्नों में से एक है जो हमें मिलता है। दुर्भाग्य से हम आपको निजी कुंजी नहीं भेज सकते हैं, क्योंकि यह निजी है, और हम इसे अपने सिस्टम या डेटाबेस में कहीं भी संग्रहीत नहीं करते हैं। निजी कुंजी हमेशा गोपनीय होती है, और यह केवल आप ही हैं जिनके पास यह होना चाहिए। यदि हम आपकी निजी कुंजी रखते हैं या संग्रहीत करते हैं, तो यह आपके एसएसएल प्रमाणपत्र की “सुरक्षा” से समझौता करेगा।

यदि आपने अपना सीएसआर कोड जनरेट करने के लिए हमारी वेबसाइट पर सीएसआर जेनरेटर का उपयोग किया है, तो सीएसआर और निजी कुंजी दोनों आपको सीएसआर जनरेशन प्रक्रिया के दौरान दिखाए गए थे। यदि आपने सीएसआर जेनरेटर में अपना ईमेल पता शामिल किया था तो उन्हें आपके ईमेल पते पर भी भेजा गया था। आपके ईमेल पते पर भेजा गया संदेश [email protected] से आया है और इसमें निम्न विषय है: “आपका सीएसआर कोड और आपकी निजी कुंजी”।

यदि आपने अपने सर्वर पर अपना सीएसआर उत्पन्न किया है, तो आपका सीएसआर कोड और आपकी निजी कुंजी दोनों आपके सर्वर द्वारा आपको प्रदान किए गए थे। आपको उन्हें सुरक्षित स्थान पर कॉपी और स्टोर करना था। कुछ मामलों में, कुछ सर्वर सीएसआर कोड और निजी कुंजी दिखा सकते हैं, और साथ ही सर्वर पर आपके लिए कोड के इन दोनों टुकड़ों को संग्रहीत कर सकते हैं। अन्य मामलों में, सर्वर आपको केवल सीएसआर कोड प्रदान करता है और निजी कुंजी को सर्वर पर छिपाए रखता है।

यह कहा जा रहा है, कृपया अपने ईमेल पते या अपने सर्वर में निजी कुंजी देखें। यदि आप इसे नहीं ढूंढ सकते हैं, तो आपको अपने सर्वर पर, या हमारी वेबसाइट पर सीएसआर जनरेटर  पर एक नया सीएसआरकोड जनरेट करना होगा। सीएसआर कोड एक निजी कुंजी के साथ आएगा।

एक बार एक नया सीएसआर कोड (और निजी कुंजी) उत्पन्न हो जाने के बाद, आपको अपने एसएसएल ड्रैगन खाते के अंदर एसएसएल प्रमाणपत्र विवरण पृष्ठ पर जाना होगा, और पृष्ठ पर बाईं ओर बार से “पुन: जारी प्रमाणपत्र” बटन पर क्लिक करना होगा। आपको डोमेन सत्यापन को फिर से पास करना होगा, और एक बार जब आप ऐसा कर लेते हैं, तो आपके द्वारा दर्ज किए गए नए सीएसआर कोड के आधार पर एसएसएल प्रमाणपत्र आपको फिर से जारी किया जाएगा। इसके अलावा, फिर से जारी एसएसएल प्रमाणपत्र निजी कुंजी के साथ जोड़ा जाएगा जो नए सीएसआर कोड के साथ आया था।

यदि आप नहीं ढूंढ सकते हैं आपके SSL ड्रैगन खाते के अंदर SSL प्रमाणपत्र विवरण पृष्ठ पर “प्रमाणपत्र पुनः जारी करें” बटन, तो कृपया हमें भेजें आपके एसएसएल ड्रैगन खाते के अंदर एक समर्थन टिकट के माध्यम से नया सीएसआर कोड, या सीधे [email protected] और हम नए सीएसआर कोड का उपयोग करके आपके लिए एसएसएल प्रमाणपत्र फिर से उत्पन्न करेंगे। कृपया हमें अपनी निजी कुंजी न भेजें क्योंकि यह गोपनीय है। इसे अपने ईमेल या कंप्यूटर में एक सुरक्षित स्थान पर स्टोर करें, ताकि आपको अपना एसएसएल प्रमाणपत्र स्थापित करते समय इसकी आवश्यकता हो।

लिंक की प्रतिलिपि करें

आप ओपनएसएसएल उपयोगिता

और इसकी कमांड लाइनों के साथ एसएसएल प्रमाणपत्र और निजी कुंजी जोड़ी की अखंडता को सत्यापित कर सकते हैं।

प्रक्रिया में चार चरण होते हैं:

1. सत्यापित करें कि निजी कुंजी परिवर्तित नहीं किया गया है।
2. निजी कुंजी और SSL प्रमाणपत्र जोड़ी के साथ मेल खाने वाले मापांक मान की जाँच करें
3. प्रमाणपत्र से सार्वजनिक कुंजी के साथ एन्क्रिप्शन और निजी कुंजी के साथ डिक्रिप्शन सफलतापूर्वक करें
4. फ़ाइल की अखंडता की पुष्टि करें, जो निजी कुंजी के साथ हस्ताक्षरित है

निजी कुंजी अखंडता की जाँच करें

निम्न आदेश चलाएँ: openssl rsa -in [key-file .key] -check -noout

यहाँ एक भ्रष्ट निजी कुंजी का एक उदाहरण दिया गया है:

एक परिवर्तित / जाली कुंजी के परिणामस्वरूप अन्य त्रुटियां नीचे सूचीबद्ध हैं:

• आरएसए कुंजी त्रुटि: पी प्राइम नहीं
• RSA कुंजी त्रुटि: n p q के बराबर नहीं है
• RSA कुंजी त्रुटि: d e 1 के सर्वांगसम नहीं है
• RSA कुंजी त्रुटि: dmp1 d के सर्वांगसम नहीं है
• RSA कुंजी त्रुटि: iqmp q का व्युत्क्रम नहीं

यदि आपको उपरोक्त में से किसी भी त्रुटि का सामना करना पड़ा है, तो आपकी निजी कुंजी के साथ छेड़छाड़ की गई है और हो सकता है कि वह आपकी सार्वजनिक कुंजी के साथ काम न करे। एक नई निजी कुंजी बनाने और प्रतिस्थापन प्रमाणपत्र का अनुरोध करने पर विचार करें।

यहां निजी कुंजी का एक उदाहरण दिया गया है जो अखंडता को पूरा करता है:

निजी कुंजी और SSL प्रमाणपत्र जोड़ी के साथ मेल खाने वाले मापांक मान की जाँच करें

नोट:

निजी कुंजी और प्रमाणपत्र का मापांक बिल्कुल मेल खाना चाहिए।

प्रमाण पत्र देखने के लिए, मापांक कमांड चलाएँ:

ओपनएसएसएल x509 -noout -modulus -in [certificate-file .cer]

निजी कुंजी मापांक देखने के लिए, कमांड चलाएँ:

ओपनएसएसएल आरएसए -नोआउट -मॉड्यूलस -इन [key-file .key]

सार्वजनिक कुंजी से एन्क्रिप्ट करें और निजी कुंजी से डिक्रिप्ट करें

1. प्रमाणपत्र से सार्वजनिक कुंजी प्राप्त करें:

ओपनएसएसएल x509 -इन [certificate-file .cer] -नोआउट -pubkey > certificatefile.pub.cer

2. एन्क्रिप्ट परीक्षण.txt सार्वजनिक कुंजी का उपयोग कर फ़ाइल सामग्री

सामग्री “संदेश परीक्षण” के साथ test.txt फ़ाइल (आप नोटपैड का उपयोग कर सकते हैं) नामक एक नई फ़ाइल बनाएं। सिफर.txt फ़ाइल में एक एन्क्रिप्टेड संदेश बनाने के लिए निम्न आदेश निष्पादित करें।

ओपनएसएसएल आरएसएयूटीएल -एनक्रिप्ट -इन टेस्ट.txt -पबिन -इनकी सर्टिफिकेटफाइल.पब.cer -आउट सिफर.txt

3. निजी कुंजी
का उपयोग करकेसिफर से डिक्रिप्ट करें.txt सिफर.txt सामग्री को डिक्रिप्ट करने के लिए निम्न आदेश करें।

ओपनएसएसएल आरएसएयूटीएल -डिक्रिप्ट -इन सिफर.txt -इंकी [key-file .key]

सुनिश्चित करें कि आप अपने सिफर.txt फ़ाइल सामग्री को अपने टर्मिनल पर डिक्रिप्ट कर सकते हैं। टर्मिनल से आउटपुट को परीक्षण.txt फ़ाइल की सामग्री से मेल खाना चाहिए।

यदि सामग्री मेल नहीं खाती है, तो निजी कुंजी के साथ छेड़छाड़ की गई है और हो सकता है कि वह आपकी सार्वजनिक कुंजी के साथ काम न करे। एक नई निजी कुंजी बनाने और प्रतिस्थापन प्रमाणपत्र का अनुरोध करने पर विचार करें। यहाँ एक डिक्रिप्ट किए गए संदेश का एक उदाहरण दिया गया है:

4. निजी कुंजी के साथ हस्ताक्षरित फ़ाइल अखंडता की पुष्टि करें

test.sig और test.txt फ़ाइल को अपनी निजी कुंजी से हस्ताक्षरित करने के लिए निम्न आदेश चलाएँ:

ओपनएसएसएल डीजीएसटी -एसएचए 256 -साइन [key-file .key] -आउट टेस्ट.सिग टेस्ट.txt

अब, चरण 1 से निकाली गई अपनी सार्वजनिक कुंजी के साथ हस्ताक्षरित फ़ाइलों को सत्यापित करें।

ओपनएसएसएल डीजीएसटी -एसएचए 256 -सत्यापित करें certificatefile.pub.cer -हस्ताक्षर test.sig परीक्षण.txt

सुनिश्चित करें कि टर्मिनल से आउटपुट बिल्कुल नीचे दिए गए उदाहरण की तरह है:

यदि आपकी निजी कुंजी के साथ छेड़छाड़ की जाती है, तो आपको निम्न संदेश प्राप्त होगा:

इस स्थिति में, आपको एक नई निजी कुंजी बनानी चाहिए और प्रतिस्थापन प्रमाणपत्र का अनुरोध करना चाहिए।

स्रोत: डिजिसर्ट का नॉलेज बेस

लिंक की प्रतिलिपि करें

कभी-कभी, एसएसएल प्रमाणपत्र जो आपको जारी किया गया था, उस निजी कुंजी से मेल नहीं खाता है जिसे आप अपने सर्वर पर उस एसएसएल प्रमाणपत्र को स्थापित करते समय उपयोग करने का प्रयास कर रहे हैं। यह एक सामान्य उपयोगकर्ता उत्पन्न त्रुटि है।

यदि सिस्टम कहता है कि कोई बेमेल है, तो आपको सीएसआर और निजी कुंजी को दोबारा जांचने की आवश्यकता है जो आपने उत्पन्न की थी, और जो एक साथ आई थी। आपको यह सुनिश्चित करने की आवश्यकता है कि आपने अपना एसएसएल प्रमाणपत्र कॉन्फ़िगर करते समय उस विशिष्ट सीएसआर का उपयोग किया था। जब एसएसएल प्रमाणपत्र जारी किया जाता है, तो आपको उस विशिष्ट सीएसआर के साथ जोड़े जाने वाली निजी कुंजी का उपयोग करने की आवश्यकता होती है।

हम ग्राहकों को गलती करते हुए देखते हैं जहां वे एक सीएसआर और निजी कुंजी उत्पन्न करते हैं, फिर एसएसएल प्रमाणपत्र को एक अलग सीएसआर के साथ कॉन्फ़िगर करते हैं जो सर्वर उत्पन्न होता है। उस स्थिति में सर्वर ने अपनी निजी कुंजी के साथ सीएसआर जोड़े उत्पन्न किए, जो आपके पास शायद नहीं है।

आपके पास जो निजी कुंजी है वह केवल उस सीएसआर के साथ काम करती है जिसके साथ वह आया था। साथ ही, निजी कुंजी जो आपके पास केवल एसएसएल प्रमाणपत्र के साथ काम करती है जिसे सीएसआर का उपयोग करके कॉन्फ़िगर किया गया था जो उस निजी कुंजी के साथ जोड़ता है।

विलयन

इसे हल करने के लिए, आपको सीएसआर कोड का उपयोग करके अपने एसएसएल प्रमाणपत्र को फिर से कॉन्फ़िगर (पुनः जारी) करने की आवश्यकता है जिसके लिए आपके पास निजी कुंजी है जिसके साथ यह जोड़ा जाता है। आप अपने सर्वर द्वारा प्रदान किए जाने वाले CSR कोड का उपयोग करना चाह सकते हैं, या एक नई CSR और निजी कुंजी जनरेट कर सकते हैं.

लिंक की प्रतिलिपि करें

1 जून, 2023 से, उद्योग मानकों को FIPS 140 स्तर 2, सामान्य मानदंड EAL 4+ प्रमाणित हार्डवेयर पर कोड साइनिंग प्रमाणपत्र निजी कुंजियों को संग्रहीत करने का आदेश देता है। यह परिवर्तन ईवी कोड हस्ताक्षर मानकों के साथ संरेखित करते हुए सुरक्षा को बढ़ाता है। प्रमाणपत्र प्राधिकारी अब ब्राउज़र-आधारित कुंजी पीढ़ी या लैपटॉप/सर्वर स्थापनाओं का समर्थन नहीं कर सकते. निजी कुंजियाँ FIPS 140-2 स्तर 2 या सामान्य मापदंड EAL 4+ प्रमाणित टोकन/HSM पर होनी चाहिए। कोड पर हस्ताक्षर करने के लिए, टोकन/एचएसएम तक पहुंचें और संग्रहीत प्रमाणपत्र क्रेडेंशियल्स का उपयोग करें।

नए दिशानिर्देशों के अनुरूप, आपकी निजी कुंजी CA द्वारा भेजे गए टोकन पर या आपके हार्डवेयर सुरक्षा मॉड्यूल पर होनी चाहिए।

लिंक की प्रतिलिपि करें