Генерация CSR для SSL

Мне нужно добавить SSL к серверу Apache/Linux.

Нужно ли генерировать CSR с того же сервера, на котором мне нужно добавить SSL?

Также, когда я добавляю SSL в сервер Apache, могу ли я пропустить упоминание файла ключа, как показано ниже?

<VirtualHost *:443>
    ServerName www.example.com
    SSLEngine on
    SSLCertificateFile /path/to/www.example.com.cert
    SSLCertificateChainFile /path/to/DigiCertCA.crt
</VirtualHost>

1 ответ

Решение

Вам не нужно генерировать CSR на сервере, где он будет использоваться, но для сертификатов, используемых только на одном сервере, настоятельно рекомендуется генерировать ключи на сервере и никогда не позволять ему покидать этот хост.

Однако вам нужно сообщить Apache, где можно найти закрытый ключ.

Думайте о закрытом и открытом ключе как об уникальных англо-корейских словарях.

Браузер говорит только по-английски - так же как и Apache

Когда браузер хочет что-то отправить в Apache в тайне, он получает англо-корейский словарь (сертификат / открытый ключ) от Apache и переводит секретное сообщение на корейский.

Когда Apache получает секретное сообщение, ему нужен корейско-английский словарь (закрытый ключ) для его перевода, чтобы понять его.

Без закрытого ключа все, что отправлено на веб-сервер, чисто корейское, и apache не знает, как на него реагировать.

Другие вопросы по тегам