作者sanbis (方正)
看板MIS
标题[Case] windows SSL 汇出金钥?
时间Wed Sep 19 15:09:18 2018
[硬体资讯]
VM
[软or韧体版本资讯]
Windows Server 2008 R2
Windows Server 2016
[问题描述]
我参照这篇文章使用 IIS 建立凭证要求(CSR)
https://blog.cloudmax.com.tw/ssl-installed-windows-server-2008-r2/
但是最近有另外的要求在建立的时候需要将凭证私钥档也一同汇出
说是申请的 SSL 可以同一网域但是不同主机上使用
在处理的时候需要另外汇出相关的凭证私钥档
但是这篇文章中并没有提到要怎麽汇出这个档案~
[已尝试过的方法]
https://wiki.gandi.net/zh-tw/ssl/troubleshoot
有找到文章可以从 .PFX 档案去做汇出
但是汇出的格式是 .pem~不知道是不是我能用的格式~Orz
希望板上的前辈可以指点一下~m(_ _)m
[其他线索]
--
应徵时
『老板你好 我是国立的 』 『有消息会跟你联络』
『老板你好 我是私立的 』 『有消息会跟你联络』
『(把奶放在桌上) 老~~~~~~~板~~~~~~』 『Amy! 给她个私人秘书职位』
国立私立尬不过两粒 这就是现实
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.125.62.244
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1537340963.A.465.html
1F:→ blackhippo: 拿csr档去向凭证伺服器要凭证(.cer).然後把cer档丢进 09/19 15:14
2F:→ blackhippo: 当初产生csr档的server or client再汇出.汇出时将私钥 09/19 15:15
3F:→ blackhippo: 包进去就会是pfx档 09/19 15:15
这个方法我知道~
IIS 建立凭证要求以後跟凭证商申请核发~
下来的可能是 crt 或是 cer
然後可以装到主机上
主机上可以在汇出成 pfx 档案~
但是之前有用户手贱把凭证要求砍掉。。。。
想要重新处理的话~
当下想的方案是直接拿金钥跟发下来的 cer/crt 直接合成 pfx 就可以直接装上去了
但是一直找不到 windows 在建立 CSR 的时候同时汇出金钥的方法~Orz
※ 编辑: sanbis (59.125.62.244), 09/19/2018 15:26:39
4F:→ blackhippo: windows 建立csr时私钥会存在那台机器上..就我所知 09/19 15:37
5F:→ blackhippo: windows是没办法把私钥单独抽出来..只能靠包pfx拉出来 09/19 15:37
这边有点好奇
windows 在每次建立 CSR 的时候都会产生新的金钥还是?
※ 编辑: sanbis (59.125.62.244), 09/19/2018 15:40:42
6F:→ blackhippo: 这个我没研究..猜测应该会产生新的吧 09/19 15:46
8F:→ blackhippo: 这个工具可以看电脑里面的凭证进行管理..之前处理凭证 09/19 15:49
9F:→ blackhippo: 还满常用到的 09/19 15:49
10F:→ sanbis: 感激指点~有空再研究看看这个工具~ 09/19 16:45
11F:→ deadwood: 每次产生CSR都是会生成另一组不同金钥 09/19 18:43
12F:→ deadwood: 只有凭证过期要展延才可能沿用原本的金钥,但这也不安全 09/19 18:44
13F:→ deadwood: 撇开某些漏洞可以让人直接从记忆体偷走金钥,一个私钥存 09/19 18:44
14F:→ deadwood: 在同一个地方都不变,风险衣锭比较高,好比定期换密码 09/19 18:45
15F:→ deadwood: 如果不慎移除私钥,凭证就该废了 09/19 18:48
16F:→ deadwood: 若是私钥还在但CSR移除,同样也代表这个凭证基本上不安 09/19 19:01
17F:→ deadwood: 全了,重新产生一次CSR签发新凭证才是正确的 09/19 19:02