Приватный ключ

Где я могу найти свой закрытый ключ?

Это один из самых частых вопросов, которые мы получаем. К сожалению, мы не можем выслать Вам Закрытый ключ, поскольку он является закрытым, и мы не храним его ни в одной из наших систем или баз данных. Закрытый ключ всегда остается конфиденциальным, и он должен быть только у Вас. Если бы мы имели или хранили Ваш закрытый ключ, это поставило бы под угрозу “безопасность” Вашего SSL-сертификата.

Если Вы использовали Генератор CSR на нашем сайте для генерации кода CSR, то и CSR, и Закрытый ключ были показаны Вам в процессе генерации CSR. Они также были отправлены на Ваш адрес электронной почты в том случае, если Вы указали свой адрес электронной почты в Генераторе CSR. Сообщение, которое было отправлено на Ваш адрес электронной почты, пришло с сайта [email protected] и имеет следующую тему: “Ваш CSR-код и Закрытый ключ”.

Если Вы сгенерировали свой CSR на своем сервере, то и код CSR, и закрытый ключ были предоставлены Вам Вашим сервером. Вы должны были скопировать их и хранить в надежном месте. В некоторых случаях некоторые серверы могут показывать код CSR и закрытый ключ и одновременно хранить оба этих кода для Вас на сервере. В других случаях сервер предоставляет Вам только код CSR, а закрытый ключ прячет на сервере.

перевыпуск сертификатаПри этом, пожалуйста, ищите Закрытый ключ в адресе Вашей электронной почты или на Вашем сервере. Если Вы не можете найти его, то Вам придется сгенерировать новый CSR-код на Вашем сервере или на Генераторе CSR на нашем сайте. Код CSR будет сопровождаться закрытым ключом.

После того, как новый CSR-код (и закрытый ключ) будут сгенерированы, Вам нужно будет перейти на страницу подробностей SSL-сертификата в Вашем аккаунте SSL Dragon и нажать на кнопку “Перевыпустить сертификат” в левой боковой панели страницы. Вам придется снова пройти проверку домена, и как только Вы это сделаете, SSL-сертификат будет выдан Вам заново на основе нового кода CSR, который Вы ввели. Кроме того, перевыпущенный SSL-сертификат будет работать в паре с закрытым ключом, который был получен вместе с новым кодом CSR.

Если Вы не можете найти Кнопка “Перевыпустить сертификат” на странице сведений о SSL-сертификате в Вашем аккаунте SSL Dragon, затем отправьте нам Отправьте новый код CSR через Тикет поддержки в Вашем аккаунте SSL Dragon или непосредственно по адресу [email protected] и мы заново сгенерируем для Вас SSL-сертификат, используя новый код CSR. Пожалуйста, не присылайте нам Ваш закрытый ключ, так как он является конфиденциальным. Храните его в надежном месте в своей электронной почте или на компьютере, так как он понадобится Вам при установке SSL-сертификата.

Копировать ссылку

Как проверить целостность пары закрытых ключей?

Вы можете проверить целостность сертификата SSL и пары закрытых ключей с помощью
утилиты OpenSSL
и ее командной строки.

Процесс состоит из четырех шагов:

  1. Убедитесь, что закрытый ключ не был изменен.
  2. Проверьте соответствие значения модуля с парой закрытого ключа и сертификата SSL
  3. Успешно выполните шифрование с помощью открытого ключа из сертификата и расшифровку с помощью закрытого ключа
  4. Подтвердите целостность файла, который подписан закрытым ключом

Проверьте целостность закрытого ключа

Выполните следующую команду: openssl rsa -in [key-file .key] -check -noout

Вот пример испорченного закрытого ключа:

ошибка с закрытым ключом

Ниже перечислены другие ошибки, возникающие из-за измененного/подделанного ключа:

  • Ошибка ключа RSA: p не простой
  • Ошибка ключа RSA: n не равно p q
  • Ошибка ключа RSA: d e не конгруэнтно 1
  • Ошибка ключа RSA: dmp1 не конгруэнтен d
  • Ошибка ключа RSA: iqmp не обратен q

Если Вы столкнулись с любой из вышеперечисленных ошибок, Ваш закрытый ключ был подделан и может не работать с Вашим открытым ключом. Подумайте о создании нового закрытого ключа и запросе на замену сертификата.

Вот пример закрытого ключа, который отвечает требованиям целостности:

ключ rsa ok

Проверьте соответствие значения модуля с парой закрытого ключа и сертификата SSL


Примечание:

Модули закрытого ключа и сертификата должны точно совпадать.

Чтобы просмотреть модуль сертификата, выполните команду:

openssl x509 -noout -modulus -in [certificate-file .cer]

Чтобы просмотреть закрытый ключ Modulus, выполните команду:

openssl rsa -noout -modulus -in [key-file .key]

Зашифруйте с помощью открытого ключа и расшифруйте с помощью закрытого ключа.

1. Получите открытый ключ из сертификата:

openssl x509 -in [certificate-file .cer] -noout -pubkey > certificatefile.pub.cer

2. Зашифруйте содержимое файла test.txt с помощью открытого ключа

Создайте новый файл под названием test.txt (Вы можете использовать Блокнот) с содержанием “message test”. Выполните следующую команду, чтобы создать зашифрованное сообщение в файле cipher.txt.

openssl rsautl -encrypt -in test.txt -pubin -inkey certificatefile.pub.cer -out cipher.txt

3. Расшифруйте содержимое cipher.txt с помощью закрытого ключа
Выполните следующую команду для расшифровки содержимого cipher.txt.

openssl rsautl -decrypt -in cipher.txt -inkey [key-file .key]

Убедитесь, что Вы можете расшифровать содержимое файла cipher.txt на своем терминале. Вывод из терминала должен совпадать с содержимым файла test.txt.

Если содержимое не совпадает, значит, закрытый ключ был подделан и может не работать с Вашим открытым ключом. Подумайте о создании нового закрытого ключа и запросе на замену сертификата. Вот пример расшифрованного сообщения:

тест сообщений

4. Подтвердите целостность файла, подписанного закрытым ключом

Выполните следующую команду, чтобы подписать файл test.sig и test.txt Вашим закрытым ключом:

openssl dgst -sha256 -sign [key-file .key] -out test.sig test.txt

Теперь проверьте подписанные файлы с помощью Вашего открытого ключа, извлеченного из шага 1.

openssl dgst -sha256 -verify certificatefile.pub.cer -signature test.sig test.txt

Убедитесь, что вывод из терминала выглядит так, как показано в примере ниже:

проверено ок
Если Ваш закрытый ключ будет подделан, Вы получите следующее сообщение:

Сбой верификации
В этом случае Вам следует создать новый закрытый ключ и запросить замену сертификата.

Источник: База знаний Digicert

Копировать ссылку

Почему я получаю ошибку несоответствия сертификата или закрытого ключа?

Иногда выданный Вам SSL-сертификат не соответствует закрытому ключу, который Вы пытаетесь использовать при установке этого SSL-сертификата на свой сервер. Это обычная ошибка, возникающая у пользователей.

Если система говорит, что есть несоответствие, то Вам необходимо дважды проверить CSR и Закрытый ключ, которые Вы сгенерировали и которые пришли вместе. Вам нужно убедиться, что Вы использовали именно этот CSR при настройке SSL-сертификата. Когда SSL-сертификат выпущен, Вам необходимо использовать закрытый ключ, который сопряжен с конкретным CSR.

Мы видим, как клиенты совершают ошибку, когда они генерируют один CSR и закрытый ключ, а затем настраивают SSL-сертификат с помощью другого CSR, сгенерированного сервером. В этом случае сервер генерирует пары CSR с собственным закрытым ключом, которого у Вас, скорее всего, нет.

Закрытый ключ, который у Вас есть, работает только с CSR, с которым он поставляется. Кроме того, имеющийся у Вас закрытый ключ работает только с SSL-сертификатом, который был настроен с помощью CSR, сопряженного с этим закрытым ключом.

Решение

Чтобы решить эту проблему, Вам необходимо переконфигурировать (перевыпустить) Ваш SSL-сертификат, используя код CSR, для которого у Вас есть закрытый ключ, с которым он сопряжен. Вы можете использовать код CSR, который предоставляет Ваш сервер, или сгенерировать новый CSR и закрытый ключ.

Копировать ссылку

Как найти закрытый ключ для моего сертификата подписи кода?

Начиная с 1 июня 2023 года, отраслевые стандарты предписывают хранить закрытые ключи сертификатов подписи кода на оборудовании, сертифицированном по стандартам FIPS 140 Level 2, Common Criteria EAL 4+. Это изменение повышает безопасность, соответствуя стандартам подписания EV-кода. Центры сертификации больше не могут поддерживать генерацию ключей через браузер или установку на ноутбук/сервер. Закрытые ключи должны находиться на токенах/HSM, сертифицированных по стандарту FIPS 140-2 Level 2 или Common Criteria EAL 4+. Чтобы подписать код, получите доступ к токену/HSM и используйте сохраненные учетные данные сертификата.

В соответствии с новыми рекомендациями, Ваш закрытый ключ должен находиться на токене, поставляемом ЦС, или на Вашем аппаратном модуле безопасности.

Копировать ссылку