SSL証明書をホストするサーバーでCSRを生成する必要がありますか?
WebアプリケーションとSSL証明書をホストするのと同じマシンでCSR(証明書署名要求)を生成する必要がありますか?
これは SSL Shopperのページ と書かれていますが、それが本当かどうかはわかりません。クラスター内のサーバーごとに個別のSSL証明書を購入する必要があるためです。
CSRとは?CSRまたは証明書署名リクエストは、証明書が使用されるサーバー上で生成される暗号化されたテキストのブロックです。
いいえ。結果の証明書をホストするマシンでCSRを生成する必要はありません。 CSR doesは、証明書が最終的にペアになる既存の秘密鍵を使用して生成するか、CSR作成プロセスの一部として一致する秘密鍵を生成する必要があります。
重要なのは発信元のホストではなく、秘密鍵と結果の公開鍵が一致するペアであることです。
kceは完全に正しく、同じマシン上で実行する必要はありませんが、関連する秘密鍵から実行する必要があります。
私が2番目の答えを投稿する唯一の理由は、誰も言っていないためですなぜあなたはそのようなことをしたいと思うかもしれません。私が生成するほぼすべてのキー/ CSRセットは、ラップトップまたはデスクトップから行われ、キーは証明書がインストールされるサーバーに安全にコピーされ、CSRは署名機関に送信されます。その理由はエントロピーです。SSL証明書は一般的にサーバーを保護するために使用されます。サーバーには、非常に浅いエントロピープールがあり、作成するキーペアを弱めるか、作成に時間がかかります。一方、デスクトップには、キーボード/マウスケーブルを介して接続された便利なランダム性のソースがあるため、エントロピープールが深くなる傾向があります。したがって、高品質の乱数を必要とする操作のためのはるかに優れたプラットフォームとなり、キーペアの生成はそのような目的の1つです。
したがって、キー/ CSRをサーバー外で生成できるだけでなく、そうすることには十分な理由があることがよくあります。