Obtenha o conteúdo do antigo .CSR

Question

Obtenha o conteúdo do antigo .CSR

#1 resposta do (6 votos)
#2 resposta do (3 votos)
#3 resposta do (3 votos)
#4 resposta do (1 votos)
#5 resposta do (1 votos)
#6 resposta do (0 votos)
#7 resposta do (0 votos)

3

Em um dos meus novos sites de clientes, tenho um certificado SSL que está prestes a expirar. Eu fui notificado pelo meu provedor de validade. O administrador anterior foi bastante detalhado e eu localizei o .CSR que foi usado para solicitar o certificado prestes a expirar.

No entanto, este host é um host debian, e eu confirmei que o .CSR foi gerado quando o Debian estava sofrendo com o problema de geração de números aleatórios do OpenSSL.

Agora que atualizei o OpenSSL no meu host debian, presumo que tenho que regenerar o .CSR para a renovação. Existe uma maneira de descobrir quais valores foram usados no .CSR que tenho, para garantir que o novo .CSR seja consistente?

ssl debian

por David Mackintosh 24.06.2009 / 02:36

7 respostas

3

Para referência futura, você nem precisa do CSR original.

Você pode criar uma nova solicitação a partir do certificado x509 existente.

openssl x509 -x509toreq -in file.crt -signkey file.key -out file.csr

Como regra geral, quase todos os comandos do OpenSSL suportam os sinalizadores respondidos corretamente por outras pessoas.

-noout -text

O que simplesmente impede a saída do PEM e exibe conteúdo legível por humanos.

por 24.06.2009 / 08:56

3

Se a chave foi gerada em um servidor Debian ou Ubuntu enquanto o openssl possui um gerador de números aleatórios quebrado, você deve gerar novamente a chave . Não basta gerar um novo CSR a partir da chave antiga. Você ainda é vunerável. Depois de ter uma nova chave, você pode criar um novo CSR com os valores corretos.

por 24.06.2009 / 09:02

1

openssl req -text -noout -in FILENAME.csr

deve fazer o truque.

por 24.06.2009 / 03:03

1

Concordo completamente com David Pashley (mas tenho algo a acrescentar ...).

As chaves em si são vulneráveis, não o csr! Não há sentido em regenerar a RSC que você tem que regenerar suas chaves!

A maioria das autoridades de certificação nem aceitará solicitações de assinatura associadas a essas chaves "comprometidas".

E aqui estão alguns links úteis:

substituindo suas chaves: rollover da chave Debian
Houve uma muito boa apresentação do Debconf7 sobre este tópico (o site parece estar inativo atm.)

por 24.06.2009 / 11:49

0

Dependendo EXATAMENTE do que você está tentando fazer aqui, mas se estivermos falando de um certificado SSL comum usado com servidores da Web, às vezes, a solução simples é simplesmente acessar o site ( link ) e veja as propriedades do certificado.

Clique com o botão direito no "bloqueio" no navegador enquanto ele está no modo HTTPS / SSL e você poderá ver praticamente todos os valores inseridos.

Espero que isso ajude.

por 24.06.2009 / 06:07

0

Você provavelmente também pode descobrir quais informações foram colocadas no CSR original examinando o certificado atual:

openssl x509 -in <certfile> -text -noout

por 24.06.2009 / 17:20

Tags ssl debian

Depois de horas de procedimentos de monitoramento do servidor Prós e contras de remover / desativar o software sem fio de terceiros

score 6 · Accepted Answer

Tente isto:

openssl req -in file.csr -noout -text