在我的一个新客户站点,我有一个即将过期的 SSL 证书。我的提供商已通知我到期。以前的管理员非常详细,我找到了用于请求即将到期的证书的 .CSR。
但是,此主机是 debian 主机,我已确认 .CSR 是在 Debian 遇到 OpenSSL 随机数生成问题时生成的。
所以。现在我已经在我的 debian 主机上更新了 OpenSSL,我认为我必须重新生成 .CSR 以进行更新。有没有办法找出我拥有的 .CSR 中使用了哪些值,以确保新的 .CSR 是一致的?
AskOverflow.Dev
在我的一个新客户站点,我有一个即将过期的 SSL 证书。我的提供商已通知我到期。以前的管理员非常详细,我找到了用于请求即将到期的证书的 .CSR。
但是,此主机是 debian 主机,我已确认 .CSR 是在 Debian 遇到 OpenSSL 随机数生成问题时生成的。
所以。现在我已经在我的 debian 主机上更新了 OpenSSL,我认为我必须重新生成 .CSR 以进行更新。有没有办法找出我拥有的 .CSR 中使用了哪些值,以确保新的 .CSR 是一致的?
尝试这个:
为了将来参考,您甚至不需要原始 CSR。
您可以从现有 x509 证书创建新请求。
作为一般规则,几乎所有 OpenSSL 命令都支持其他人正确回答的标志。
这只是阻止 PEM 输出并显示人类可读的内容。
如果密钥是在 Debian 或 Ubuntu 服务器上生成的,而 openssl 具有损坏的随机数生成器,则必须重新生成密钥。不要只从旧密钥生成新的 CSR。你仍然很脆弱。获得新密钥后,您可以创建具有正确值的新 CSR。
openssl req -text -noout -in FILENAME.csr应该做的伎俩。
我完全同意 David Pashley 的观点(但我有话要补充……)。
密钥本身易受攻击,而不是 csr!重新生成您必须重新生成密钥的 csr 是没有意义的!
大多数 CA 甚至不会接受与这些“受损”密钥相关的签名请求。
这里有一些有用的链接:
取决于您在此处尝试执行的操作,但如果我们谈论的是与 Web 服务器一起使用的常规 SSL 证书,有时简单的解决方案就是打开网站 ( https://www.mywebsite.com ) 并查看证书的属性在那里。
在 HTTPS/SSL 模式下右键单击浏览器中的“锁定”,您应该能够看到几乎所有输入的值。
希望这可以帮助。
您还可以通过检查当前证书来确定将哪些信息放入原始 CSR:
openssl x509 -in <certfile> -text -noout