Kunci Pribadi
Ini adalah salah satu pertanyaan yang paling sering kami terima. Sayangnya kami tidak dapat mengirimkan Kunci Pribadi kepada Anda, karena bersifat pribadi, dan kami tidak menyimpannya di mana pun di sistem atau basis data kami. Kunci Pribadi selalu bersifat rahasia, dan hanya Anda yang boleh memilikinya. Jika kami memiliki atau menyimpan Kunci Pribadi Anda, hal ini akan membahayakan “keamanan” Sertifikat SSL Anda.
Jika Anda menggunakan CSR Generator di situs web kami untuk menghasilkan kode CSR Anda, maka CSR dan Private Key akan ditampilkan kepada Anda selama proses pembuatan CSR. Mereka juga dikirim ke alamat email Anda jika Anda menyertakan alamat email Anda di CSR Generator. Pesan yang dikirimkan ke alamat email Anda berasal dari [email protected] dan memiliki subjek sebagai berikut: “Kode CSR dan Kunci Pribadi Anda”.
Jika Anda membuat CSR di server Anda, maka kode CSR dan Private Key Anda disediakan oleh server Anda. Anda harus menyalin dan menyimpannya di tempat yang aman. Dalam beberapa kasus, beberapa server dapat menampilkan kode CSR dan Kunci Pribadi, dan pada saat yang sama menyimpan kedua potongan kode ini untuk Anda di server. Dalam kasus lain, server hanya memberikan Anda kode CSR dan menyembunyikan Kunci Pribadi di server.
Oleh karena itu, silakan cari Private Key di alamat email atau server Anda. Jika Anda tidak dapat menemukannya, maka Anda harus membuat kode CSR baru di server Anda, atau di CSR Generator di situs web kami. Kode CSR akan dilengkapi dengan Kunci Pribadi.
Setelah kode CSR baru (dan Kunci Pribadi) dibuat, Anda harus membuka halaman detail Sertifikat SSL di dalam akun SSL Dragon Anda, dan klik tombol “Terbitkan ulang sertifikat” dari bilah sisi kiri pada halaman. Anda harus melewati validasi domain lagi, dan setelah Anda melakukannya, Sertifikat SSL akan diterbitkan kembali kepada Anda berdasarkan kode CSR baru yang Anda masukkan. Selain itu, Sertifikat SSL yang diterbitkan ulang akan dipasangkan dengan Kunci Pribadi yang disertakan dengan kode CSR yang baru.
Jika Anda tidak dapat menemukan tombol “Reissue certificate” pada halaman detail Sertifikat SSL di dalam akun SSL Dragon Anda, maka silakan kirimkan kepada kami kode CSR baru melalui Tiket Dukungan di dalam akun SSL Dragon Anda, atau langsung di [email protected] dan kami akan membuat ulang Sertifikat SSL untuk Anda, menggunakan kode CSR yang baru. Mohon untuk tidak mengirimkan Kunci Pribadi Anda kepada kami karena bersifat rahasia. Simpan di tempat yang aman di email atau komputer Anda, karena Anda akan membutuhkannya saat menginstal Sertifikat SSL.
Salin tautan
Anda dapat memverifikasi integritas sertifikat SSL dan pasangan kunci privat dengan Utilitas OpenSSL dan baris perintahnya.
Prosesnya terdiri dari empat langkah:
- Verifikasi bahwa kunci pribadi belum diubah.
- Verifikasi kecocokan nilai modulus dengan Kunci Pribadi dan pasangan sertifikat SSL
- Berhasil melakukan enkripsi dengan kunci publik dari sertifikat dan dekripsi dengan kunci privat
- Konfirmasikan integritas file, yang ditandatangani dengan kunci pribadi
Verifikasi integritas kunci pribadi
Jalankan perintah berikut ini: openssl rsa -in [key-file .key] -check -noout
Berikut adalah contoh kunci pribadi yang rusak:
Kesalahan lain yang diakibatkan oleh kunci yang diubah/dipalsukan tercantum di bawah ini:
- Kesalahan kunci RSA: p bukan bilangan prima
- Kesalahan kunci RSA: n tidak sama dengan p q
- Kesalahan kunci RSA: d e tidak sebangun dengan 1
- Kesalahan kunci RSA: dmp1 tidak sebangun dengan d
- Kesalahan kunci RSA: iqmp bukan kebalikan dari q
Jika Anda mengalami salah satu kesalahan di atas, private key Anda telah dirusak dan mungkin tidak dapat digunakan dengan public key Anda. Pertimbangkan untuk membuat kunci pribadi baru dan meminta sertifikat pengganti.
Berikut ini adalah contoh kunci pribadi yang memenuhi integritas:
Verifikasi kecocokan nilai modulus dengan Kunci Pribadi dan pasangan sertifikat SSL
Catatan: Modulus kunci pribadi dan sertifikat harus sama persis.
Untuk melihat sertifikat Modulus jalankan perintah:
openssl x509 -noout -modulus -in [certificate-file .cer]
Untuk melihat kunci privat Modulus jalankan perintah:
openssl rsa -noout -modulus -in [key-file .key]
Enkripsi dengan kunci publik dari dan dekripsi dengan kunci pribadi
1. Dapatkan kunci publik dari sertifikat:
openssl x509 -in [certificate-file .cer] -noout -pubkey > certificatefile.pub.cer
2. Enkripsi konten file test.txt menggunakan kunci publik
Buat file baru bernama file test.txt (Anda dapat menggunakan Notepad) dengan konten “message test”. Lakukan perintah berikut untuk membuat pesan terenkripsi ke file cipher.txt.
openssl rsautl -encrypt -in test.txt -pubin -inkey certificatefile.pub.cer -out cipher.txt
3. Dekripsi dari cipher.txt menggunakan kunci privat
Lakukan perintah berikut untuk mendekripsi konten cipher.txt.
openssl rsautl -decrypt -in cipher.txt -inkey [key-file .key]
Pastikan Anda dapat mendekripsi konten file cipher.txt ke terminal Anda. Output dari terminal harus sesuai dengan konten pada file test.txt.
Jika isinya tidak sesuai, private key telah dirusak dan mungkin tidak dapat digunakan dengan public key Anda. Pertimbangkan untuk membuat kunci pribadi baru dan meminta sertifikat pengganti. Berikut adalah contoh pesan yang didekripsi:
4. Konfirmasikan integritas file yang ditandatangani dengan kunci privat
Jalankan perintah berikut untuk menandatangani file test.sig dan test.txt dengan kunci privat Anda:
openssl dgst -sha256 -sign [key-file .key] -out test.sig test.txt
Sekarang, verifikasi file yang ditandatangani dengan kunci publik yang diekstrak dari langkah 1.
openssl dgst -sha256 -verify certificatefile.pub.cer -signature test.sig test.txt
Pastikan bahwa output dari terminal persis seperti pada contoh di bawah ini:
Jika kunci pribadi Anda dirusak, Anda akan menerima pesan berikut:
Dalam kasus ini, Anda harus membuat kunci pribadi baru dan meminta sertifikat pengganti.
Sumber: Basis Pengetahuan Digicert
Salin tautan
Terkadang, Sertifikat SSL yang dikeluarkan untuk Anda tidak cocok dengan Kunci Pribadi yang Anda coba gunakan saat menginstal Sertifikat SSL tersebut di server Anda. Ini adalah kesalahan umum yang disebabkan oleh pengguna.
Jika sistem mengatakan ada ketidakcocokan, maka Anda perlu memeriksa ulang CSR dan Private Key yang Anda buat, dan yang sudah digabungkan. Anda perlu memastikan bahwa Anda menggunakan CSR tertentu saat mengonfigurasi Sertifikat SSL. Ketika Sertifikat SSL diterbitkan, Anda perlu menggunakan Kunci Pribadi yang dipasangkan dengan CSR tertentu.
Kami melihat pelanggan membuat kesalahan di mana mereka menghasilkan satu CSR dan Kunci Pribadi, kemudian mengonfigurasi Sertifikat SSL dengan CSR yang berbeda yang dibuat oleh server. Dalam hal ini, server akan memasangkan CSR yang dihasilkan dengan Kunci Privatnya sendiri yang kemungkinan besar tidak Anda miliki.
Kunci Pribadi yang Anda miliki hanya berfungsi dengan CSR yang disertakan. Selain itu, Kunci Pribadi yang Anda miliki hanya berfungsi dengan Sertifikat SSL yang dikonfigurasi menggunakan CSR yang berpasangan dengan Kunci Pribadi tersebut.
Solusi
Untuk mengatasi hal ini, Anda perlu mengonfigurasi ulang (menerbitkan ulang) Sertifikat SSL Anda menggunakan kode CSR yang Anda miliki untuk dipasangkan dengan Kunci Privat. Anda mungkin ingin menggunakan kode CSR yang disediakan server Anda, atau membuat CSR dan Private Key baru.
Salin tautan
Mulai 1 Juni 2023, standar industri mewajibkan penyimpanan kunci pribadi sertifikat penandatanganan kode pada perangkat keras bersertifikasi FIPS 140 Level 2, Kriteria Umum EAL 4+. Perubahan ini meningkatkan keamanan, sesuai dengan standar penandatanganan kode EV. Otoritas Sertifikat tidak lagi mendukung pembuatan kunci berbasis browser atau instalasi laptop/server. Kunci pribadi harus menggunakan token/HSM bersertifikat FIPS 140-2 Level 2 atau Kriteria Umum EAL 4+. Untuk menandatangani kode, akses token/HSM dan gunakan kredensial sertifikat yang tersimpan.
Sejalan dengan panduan baru, kunci pribadi Anda harus ada pada token yang dikirimkan oleh CA atau pada Modul Keamanan Perangkat Keras Anda.
Salin tautan