O que realmente acontece quando eu uso o IIS para gerar um certificado SSL, especialmente durante a operação de importação? É este o único caminho?

2

Eu tenho a idéia básica de pares de chaves pública / privada, mas o que eu não sei é qual é o funcionamento interno do que o IIS faz ao gerar uma chave SSL.

Uma coisa que me faz pensar que há mais sob o capô do que apenas uma troca de PKI, é que existem ferramentas como o OpenSSL, que acessam servidores da Web e expõem diferentes habilidades de criptografia. Essas habilidades parecem ser baseadas em alguma combinação de plataforma, servidor da Web e assinante de certificado.

Outra coisa que eu ainda não descobri é qual é o conteúdo da chave que a Verisign / Comodo / etc me enviará assim que o certificado for gerado. Quais são as implicações de segurança desse e-mail ou posso simplesmente excluí-lo, pois a chave que importa precisa ser exportada do servidor IIS.

Por último, é a única maneira de obter um certificado SSL para um site para usar o painel de controle do IIS para criar o par de chaves

    
por random65537 20.08.2010 / 00:09

1 resposta

2

Para autoridades de certificação de terceiros, como a Verisign, como isso funciona, você envia uma solicitação de assinatura de certificado. A máquina que gerou o CSR também gerou a chave privada. Quando eles assinam, o arquivo que você recebe funciona apenas em conjunto com a chave privada. Esse e-mail não é criticamente importante.

A plataforma de criptografia básica do servidor da Web determina quais hashes, comprimentos de chave e recursos ele pode suportar. OpenSSL é uma plataforma, unidades de infra-estrutura PKI da Microsoft IIS é outro.

Para o IIS7 (que está no Windows 2008), há outra maneira de lidar com o processo de obtenção de certificados. Vou descrever como funciona para uma CA de terceiros.

  1. Iniciar - > Executar - > MMC
  2. Vá para Arquivo - > Adicionar / Remover Snap-in
  3. Adicione o snap-in "Certificados"
  4. Quando solicitado, selecione "Conta de computador" no computador local.
  5. OK de volta para a tela principal do gerente
  6. Expanda certificados e expanda "Pessoal" (se você já tiver certificados SSL no IIS, é onde você os encontrará)
  7. Clique com o botão direito em "Pessoal" - > Todas as tarefas - > Avançado - > Criar solicitação personalizada
  8. Clique em Próximo e, em seguida, em "Continuar sem política de inscrição".
  9. Não use um modelo
  10. Expanda Detalhes e clique em Propriedades
  11. Na guia Geral, insira o nome amigável do certificado
  12. Na guia Assunto, é onde você insere seu nome de domínio. O formato deste campo pode ser crítico para algumas Autoridades de Certificação, portanto, certifique-se de configurá-lo corretamente.
  13. Na guia Chave particular, em Opções de chave, você pode definir o tamanho da chave, bem como se a chave pode ou não ser exportada.
  14. Quando terminar, clique em OK.
  15. Em seguida, Avançar, que deve gerar o CSR. Salve em algum lugar. Envie para a CA.

Para importar o certificado:

  1. Clique com o botão direito em Certificados Pessoais
  2. Selecione Propriedades - > Todas as tarefas - > Certificado de Importação
  3. Navegue até o certificado recebido da CA.
por 20.08.2010 / 00:48