Приватный ключ
Это один из самых частых вопросов, которые мы получаем. К сожалению, мы не можем выслать Вам Закрытый ключ, поскольку он является закрытым, и мы не храним его ни в одной из наших систем или баз данных. Закрытый ключ всегда остается конфиденциальным, и он должен быть только у Вас. Если бы мы имели или хранили Ваш закрытый ключ, это поставило бы под угрозу “безопасность” Вашего SSL-сертификата.
Если Вы использовали Генератор CSR на нашем сайте для генерации кода CSR, то и CSR, и Закрытый ключ были показаны Вам в процессе генерации CSR. Они также были отправлены на Ваш адрес электронной почты в том случае, если Вы указали свой адрес электронной почты в Генераторе CSR. Сообщение, которое было отправлено на Ваш адрес электронной почты, пришло с сайта [email protected] и имеет следующую тему: “Ваш CSR-код и Закрытый ключ”.
Если Вы сгенерировали свой CSR на своем сервере, то и код CSR, и закрытый ключ были предоставлены Вам Вашим сервером. Вы должны были скопировать их и хранить в надежном месте. В некоторых случаях некоторые серверы могут показывать код CSR и закрытый ключ и одновременно хранить оба этих кода для Вас на сервере. В других случаях сервер предоставляет Вам только код CSR, а закрытый ключ прячет на сервере.
При этом, пожалуйста, ищите Закрытый ключ в адресе Вашей электронной почты или на Вашем сервере. Если Вы не можете найти его, то Вам придется сгенерировать новый CSR-код на Вашем сервере или на Генераторе CSR на нашем сайте. Код CSR будет сопровождаться закрытым ключом.
После того, как новый CSR-код (и закрытый ключ) будут сгенерированы, Вам нужно будет перейти на страницу подробностей SSL-сертификата в Вашем аккаунте SSL Dragon и нажать на кнопку “Перевыпустить сертификат” в левой боковой панели страницы. Вам придется снова пройти проверку домена, и как только Вы это сделаете, SSL-сертификат будет выдан Вам заново на основе нового кода CSR, который Вы ввели. Кроме того, перевыпущенный SSL-сертификат будет работать в паре с закрытым ключом, который был получен вместе с новым кодом CSR.
Если Вы не можете найти Кнопка “Перевыпустить сертификат” на странице сведений о SSL-сертификате в Вашем аккаунте SSL Dragon, затем отправьте нам Отправьте новый код CSR через Тикет поддержки в Вашем аккаунте SSL Dragon или непосредственно по адресу [email protected] и мы заново сгенерируем для Вас SSL-сертификат, используя новый код CSR. Пожалуйста, не присылайте нам Ваш закрытый ключ, так как он является конфиденциальным. Храните его в надежном месте в своей электронной почте или на компьютере, так как он понадобится Вам при установке SSL-сертификата.
Копировать ссылку
Вы можете проверить целостность сертификата SSL и пары закрытых ключей с помощью
утилиты OpenSSL
и ее командной строки.
Процесс состоит из четырех шагов:
- Убедитесь, что закрытый ключ не был изменен.
- Проверьте соответствие значения модуля с парой закрытого ключа и сертификата SSL
- Успешно выполните шифрование с помощью открытого ключа из сертификата и расшифровку с помощью закрытого ключа
- Подтвердите целостность файла, который подписан закрытым ключом
Проверьте целостность закрытого ключа
Выполните следующую команду: openssl rsa -in [key-file .key] -check -noout
Вот пример испорченного закрытого ключа:
Ниже перечислены другие ошибки, возникающие из-за измененного/подделанного ключа:
- Ошибка ключа RSA: p не простой
- Ошибка ключа RSA: n не равно p q
- Ошибка ключа RSA: d e не конгруэнтно 1
- Ошибка ключа RSA: dmp1 не конгруэнтен d
- Ошибка ключа RSA: iqmp не обратен q
Если Вы столкнулись с любой из вышеперечисленных ошибок, Ваш закрытый ключ был подделан и может не работать с Вашим открытым ключом. Подумайте о создании нового закрытого ключа и запросе на замену сертификата.
Вот пример закрытого ключа, который отвечает требованиям целостности:
Проверьте соответствие значения модуля с парой закрытого ключа и сертификата SSL
Примечание:
Модули закрытого ключа и сертификата должны точно совпадать.
Чтобы просмотреть модуль сертификата, выполните команду:
openssl x509 -noout -modulus -in [certificate-file .cer]
Чтобы просмотреть закрытый ключ Modulus, выполните команду:
openssl rsa -noout -modulus -in [key-file .key]
Зашифруйте с помощью открытого ключа и расшифруйте с помощью закрытого ключа.
1. Получите открытый ключ из сертификата:
openssl x509 -in [certificate-file .cer] -noout -pubkey > certificatefile.pub.cer
2. Зашифруйте содержимое файла test.txt с помощью открытого ключа
Создайте новый файл под названием test.txt (Вы можете использовать Блокнот) с содержанием “message test”. Выполните следующую команду, чтобы создать зашифрованное сообщение в файле cipher.txt.
openssl rsautl -encrypt -in test.txt -pubin -inkey certificatefile.pub.cer -out cipher.txt
3. Расшифруйте содержимое cipher.txt с помощью закрытого ключа
Выполните следующую команду для расшифровки содержимого cipher.txt.
openssl rsautl -decrypt -in cipher.txt -inkey [key-file .key]
Убедитесь, что Вы можете расшифровать содержимое файла cipher.txt на своем терминале. Вывод из терминала должен совпадать с содержимым файла test.txt.
Если содержимое не совпадает, значит, закрытый ключ был подделан и может не работать с Вашим открытым ключом. Подумайте о создании нового закрытого ключа и запросе на замену сертификата. Вот пример расшифрованного сообщения:
4. Подтвердите целостность файла, подписанного закрытым ключом
Выполните следующую команду, чтобы подписать файл test.sig и test.txt Вашим закрытым ключом:
openssl dgst -sha256 -sign [key-file .key] -out test.sig test.txt
Теперь проверьте подписанные файлы с помощью Вашего открытого ключа, извлеченного из шага 1.
openssl dgst -sha256 -verify certificatefile.pub.cer -signature test.sig test.txt
Убедитесь, что вывод из терминала выглядит так, как показано в примере ниже:
Если Ваш закрытый ключ будет подделан, Вы получите следующее сообщение:
В этом случае Вам следует создать новый закрытый ключ и запросить замену сертификата.
Источник: База знаний Digicert
Копировать ссылку
Иногда выданный Вам SSL-сертификат не соответствует закрытому ключу, который Вы пытаетесь использовать при установке этого SSL-сертификата на свой сервер. Это обычная ошибка, возникающая у пользователей.
Если система говорит, что есть несоответствие, то Вам необходимо дважды проверить CSR и Закрытый ключ, которые Вы сгенерировали и которые пришли вместе. Вам нужно убедиться, что Вы использовали именно этот CSR при настройке SSL-сертификата. Когда SSL-сертификат выпущен, Вам необходимо использовать закрытый ключ, который сопряжен с конкретным CSR.
Мы видим, как клиенты совершают ошибку, когда они генерируют один CSR и закрытый ключ, а затем настраивают SSL-сертификат с помощью другого CSR, сгенерированного сервером. В этом случае сервер генерирует пары CSR с собственным закрытым ключом, которого у Вас, скорее всего, нет.
Закрытый ключ, который у Вас есть, работает только с CSR, с которым он поставляется. Кроме того, имеющийся у Вас закрытый ключ работает только с SSL-сертификатом, который был настроен с помощью CSR, сопряженного с этим закрытым ключом.
Решение
Чтобы решить эту проблему, Вам необходимо переконфигурировать (перевыпустить) Ваш SSL-сертификат, используя код CSR, для которого у Вас есть закрытый ключ, с которым он сопряжен. Вы можете использовать код CSR, который предоставляет Ваш сервер, или сгенерировать новый CSR и закрытый ключ.
Копировать ссылку
Начиная с 1 июня 2023 года, отраслевые стандарты предписывают хранить закрытые ключи сертификатов подписи кода на оборудовании, сертифицированном по стандартам FIPS 140 Level 2, Common Criteria EAL 4+. Это изменение повышает безопасность, соответствуя стандартам подписания EV-кода. Центры сертификации больше не могут поддерживать генерацию ключей через браузер или установку на ноутбук/сервер. Закрытые ключи должны находиться на токенах/HSM, сертифицированных по стандарту FIPS 140-2 Level 2 или Common Criteria EAL 4+. Чтобы подписать код, получите доступ к токену/HSM и используйте сохраненные учетные данные сертификата.
В соответствии с новыми рекомендациями, Ваш закрытый ключ должен находиться на токене, поставляемом ЦС, или на Вашем аппаратном модуле безопасности.
Копировать ссылку