Cheie Privată

Toate Actualizări Adresă IP Autoritățile de Certificare Cheie Privată Cod CSR Configurare CPAC Decoder CSR DigiCert Domenii Multiple General Generator CSR Instalare Instalați Certificate SSL LEI Plăți Reînnoire S/MIME Schimbări Semnare de Cod Tipuri Tutoriale Generare CSR Validare Domeniu Validare Extinsă Validare Organizație Wildcard
Unde pot găsi cheia mea privată?

Aceasta este una dintre cele mai frecvente întrebări pe care le primim. Din păcate, nu vă putem trimite Cheia privată, deoarece este privată și nu o stocăm nicăieri în sistemul nostru sau în baza noastră de date. Cheia privată este întotdeauna confidențială și numai dumneavoastră trebuie să o dețineți. Dacă am avea sau am stoca cheia dvs. privată, acest lucru ar compromite “securitatea” certificatului dvs. SSL.

Dacă ați folosit Generatorul de CSR de pe site-ul nostru pentru a genera codul CSR, atunci CSR și Cheia privată v-au fost afișate în timpul procesului de generare a CSR. De asemenea, au fost trimise la adresa dvs. de e-mail, în cazul în care ați inclus adresa dvs. de e-mail în generatorul CSR. Mesajul care a fost trimis la adresa dvs. de e-mail provine de la [email protected] și are următorul subiect: “Codul CSR și cheia privată”.

Dacă ați generat CSR-ul pe serverul dvs., atunci codul CSR și cheia privată v-au fost furnizate de serverul dvs. Trebuia să le copiați și să le păstrați într-un loc sigur. În unele cazuri, unele servere pot afișa codul CSR și cheia privată și, în același timp, pot stoca aceste două coduri pentru dumneavoastră pe server. În alte cazuri, serverul vă furnizează doar codul CSR și păstrează cheia privată ascunsă pe server.

re-emiterea-certificatuluiAcestea fiind spuse, vă rugăm să căutați cheia privată în adresa de e-mail sau în serverul dvs. Dacă nu îl găsiți, va trebui să generați un nou cod CSR pe serverul dvs. sau pe CSR Generator de pe site-ul nostru. Codul CSR va fi însoțit de o cheie privată.

Odată ce un nou cod CSR (și o nouă cheie privată) au fost generate, va trebui să accesați pagina de detalii a certificatului SSL din contul dumneavoastră SSL Dragon și să faceți clic pe butonul “Reemiteți certificatul” din bara din stânga paginii. Va trebui să treceți din nou de validarea domeniului și, odată ce ați făcut acest lucru, certificatul SSL vă va fi eliberat din nou pe baza noului cod CSR pe care l-ați introdus. De asemenea, certificatul SSL reemis va fi asociat cu cheia privată care a fost furnizată împreună cu noul cod CSR.

Dacă nu puteți găsi butonul “Reemiteți certificatul” de pe pagina de detalii a certificatului SSL din contul dumneavoastră SSL Dragon, apoi vă rugăm să ne trimiteți noul cod CSR prin intermediul unui bilet de asistență din contul dumneavoastră SSL Dragon sau direct la [email protected] și vom genera din nou certificatul SSL pentru dvs., utilizând noul cod CSR. Vă rugăm să nu ne trimiteți Cheia privată, deoarece aceasta este confidențială. Păstrați-l într-un loc sigur în e-mail sau în computer, pentru că veți avea nevoie de el la instalarea certificatului SSL.

Copiați link-ul

Cum se verifică integritatea perechii de chei private?

Puteți verifica integritatea unui certificat SSL și a unei perechi de chei private cu ajutorul aplicației
OpenSSL
 și liniile de comandă ale acestuia.

Procesul constă în patru etape:

  1. Verificați dacă cheia privată nu a fost modificată.
  2. Verificați dacă valoarea modulului se potrivește cu cheia privată și cu perechea de certificate SSL
  3. Efectuați cu succes criptarea cu cheia publică din certificat și decriptarea cu cheia privată
  4. Confirmă integritatea fișierului, care este semnat cu cheia privată

Verificarea integrității cheii private

Executați următoarea comandă: openssl rsa -in [key-file .key] -check -noout

Iată un exemplu de cheie privată coruptă:

eroare de cheie privată

Alte erori care rezultă dintr-o cheie modificată/contrafăcută sunt enumerate mai jos:

  • Eroare cheie RSA: p nu este prim
  • Eroare de cheie RSA: n nu este egal cu p q
  • Eroare cheie RSA: d e nu este congruent cu 1
  • Eroare cheie RSA: dmp1 nu este congruent cu d
  • Eroare cheie RSA: iqmp nu este inversul lui q

Dacă ați întâlnit una dintre erorile de mai sus, cheia privată a fost modificată și este posibil să nu funcționeze cu cheia publică. Luați în considerare crearea unei noi chei private și solicitarea unui certificat de înlocuire.

Iată un exemplu de cheie privată care respectă integritatea:

cheie rsa ok

Verificați dacă valoarea modulului se potrivește cu cheia privată și cu perechea de certificate SSL


Notă:

Modulul cheii private și al certificatului trebuie să corespundă exact.

Pentru a vizualiza modulul certificatului, executați comanda:

openssl x509 -noout -modulus -in [certificate-file .cer]

Pentru a vizualiza modulul cheii private Modulus, executați comanda:

openssl rsa -noout -modulus -in [key-file .key]

Criptarea cu cheia publică de la și decriptarea cu cheia privată

1. Obțineți cheia publică din certificat:

openssl x509 -in [certificate-file .cer] -noout -pubkey > certificatefile.pub.cer

2. Criptați conținutul fișierului test.txt utilizând cheia publică

Creați un nou fișier numit test.txt (puteți folosi Notepad) cu conținutul “test de mesaj”. Executați următoarea comandă pentru a crea un mesaj criptat în fișierul cipher.txt.

openssl rsautl -encrypt -in test.txt -pubin -inkey certificatefile.pub.cer -out cipher.txt

3.Decriptarea dincipher.txt utilizând cheia privată
Executați următoarea comandă pentru a decripta conținutul cipher.txt.

openssl rsautl -decrypt -in cipher.txt -inkey [key-file .key]

Asigurați-vă că puteți decripta conținutul fișierului cipher.txt în terminalul dvs. Ieșirea din terminal trebuie să corespundă conținutului din fișierul test.txt.

În cazul în care conținutul nu se potrivește, cheia privată a fost falsificată și este posibil să nu funcționeze cu cheia dumneavoastră publică. Luați în considerare crearea unei noi chei private și solicitarea unui certificat de înlocuire. Iată un exemplu de mesaj decriptat:

testul mesajului

4. Confirmați integritatea fișierului semnat cu cheia privată

Rulați următoarea comandă pentru a semna fișierul test.sig și test.txt cu cheia dvs. privată:

openssl dgst -sha256 -sign [key-file .key] -out test.sig test.txt

Acum, verificați fișierele semnate cu cheia dvs. publică extrasă la pasul 1.

openssl dgst -sha256 -verify certificatefile.pub.cer -signature test.sig test.txt

Asigurați-vă că ieșirea din terminal este exact ca în exemplul de mai jos:

verificat ok
În cazul în care cheia dvs. privată este falsificată, veți primi următorul mesaj:

eșecul verificării
În acest caz, trebuie să creați o nouă cheie privată și să solicitați un certificat de înlocuire.

Sursa: Baza de cunoștințe Digicert’s Knowledge Base

Copiați link-ul

De ce primesc o eroare de neconcordanță a certificatului sau a cheii private?

Uneori, certificatul SSL care v-a fost emis nu se potrivește cu cheia privată pe care încercați să o utilizați atunci când instalați certificatul SSL pe serverul dumneavoastră. Aceasta este o eroare comună generată de utilizator.

Dacă sistemul spune că există o neconcordanță, atunci trebuie să verificați de două ori CSR-ul și cheia privată pe care le-ați generat și care au venit împreună. Trebuie să vă asigurați că ați utilizat acel CSR specific atunci când ați configurat certificatul SSL. Atunci când certificatul SSL este emis, trebuie să utilizați cheia privată care se asociază cu acel CSR specific.

Vedem clienți care fac greșeala de a genera un CSR și o cheie privată, apoi de a configura certificatul SSL cu un CSR diferit, generat de server. În acest caz, serverul a generat perechi CSR cu propria cheie privată pe care, cel mai probabil, nu o aveți.

Cheia privată pe care o aveți funcționează numai cu CSR-ul cu care a fost furnizată. De asemenea, cheia privată pe care o aveți funcționează numai cu certificatul SSL care a fost configurat cu ajutorul CSR-ului care se asociază cu acea cheie privată.

Soluție

Pentru a rezolva această problemă, trebuie să reconfigurați (să emiteți din nou) certificatul SSL utilizând un cod CSR pentru care aveți cheia privată cu care se asociază. Este posibil să doriți să utilizați un cod CSR furnizat de serverul dvs. sau să generați un nou CSR și o nouă cheie privată.

Copiați link-ul

Cum găsesc cheia privată pentru certificatul meu de semnare a codului?

Începând cu 1 iunie 2023, standardele din industrie impun stocarea cheilor private ale certificatelor de semnare a codurilor pe hardware certificat FIPS 140 Level 2 și certificat Common Criteria EAL 4+. Această modificare sporește securitatea, alinierea la standardele de semnare a codurilor EV. Autoritățile de certificare nu mai pot susține generarea de chei pe bază de browser sau instalări pe laptop/server. Cheile private trebuie să se afle pe token-uri/HSM-uri certificate FIPS 140-2 Level 2 sau Common Criteria EAL 4+. Pentru a semna codul, accesați token-ul/HSM și utilizați acreditările de certificat stocate.

În conformitate cu noile orientări, cheia dvs. privată trebuie să se afle pe tokenul livrat de AC sau pe modulul de securitate hardware.

Copiați link-ul