Генерация CSR для SSL
Мне нужно добавить SSL к серверу Apache/Linux.
Нужно ли генерировать CSR с того же сервера, на котором мне нужно добавить SSL?
Также, когда я добавляю SSL в сервер Apache, могу ли я пропустить упоминание файла ключа, как показано ниже?
<VirtualHost *:443>
ServerName www.example.com
SSLEngine on
SSLCertificateFile /path/to/www.example.com.cert
SSLCertificateChainFile /path/to/DigiCertCA.crt
</VirtualHost>
1 ответ
Вам не нужно генерировать CSR на сервере, где он будет использоваться, но для сертификатов, используемых только на одном сервере, настоятельно рекомендуется генерировать ключи на сервере и никогда не позволять ему покидать этот хост.
Однако вам нужно сообщить Apache, где можно найти закрытый ключ.
Думайте о закрытом и открытом ключе как об уникальных англо-корейских словарях.
Браузер говорит только по-английски - так же как и Apache
Когда браузер хочет что-то отправить в Apache в тайне, он получает англо-корейский словарь (сертификат / открытый ключ) от Apache и переводит секретное сообщение на корейский.
Когда Apache получает секретное сообщение, ему нужен корейско-английский словарь (закрытый ключ) для его перевода, чтобы понять его.
Без закрытого ключа все, что отправлено на веб-сервер, чисто корейское, и apache не знает, как на него реагировать.