Мне нужно создать пару открытого / закрытого ключей для запроса сертификата. Я хочу использовать IIS. Как только сертификат будет подписан, я буду распространять его на несколько серверов, и поэтому мне также понадобится часть закрытого ключа.
Существует множество руководств о том, как создать пару, и я успешно это сделал, однако я могу найти только часть открытого ключа (я понимаю, что это единственное, что я должен отправить в орган). Я не хочу отправлять открытый ключ в орган, пока не буду уверен, что у меня тоже есть закрытый ключ.
Буду признателен за любую помощь; Пожалуйста, имейте в виду, что я новичок в администрировании серверов. Спасибо!
Изменить: исходя из информации, которую я предоставил ниже, возможно, IIS - не лучший инструмент для меня. Может ли кто-нибудь порекомендовать мне надежный инструмент для использования в Windows?
В современных версиях IIS запустите консоль диспетчера IIS, щелкните свой сервер на левой панели, затем дважды щелкните «Сертификаты сервера» на правой панели. Теперь вы заметите, что в крайней правой панели у вас есть возможность «Создать запрос на сертификат» и «Завершить запрос на сертификат».
Итак, как только вы создали CSR, отнесите его в центр сертификации, и они либо предоставят его, либо отклонят.
Ключевым моментом здесь (без каламбура) является то, что закрытый ключ генерируется при создании CSR, и, следовательно, единственным хостом, имеющим закрытый ключ, который соответствует этому CSR прямо сейчас, является веб-сервер, на котором вы создали CSR. Таким образом, вы можете выполнить запрос сертификата только на том же сервере. Предполагая, что центр сертификации предоставит ваш запрос, подписанный ответ, который вы получите обратно от центра сертификации, будет связан с вашим закрытым ключом во время выполнения запроса на сертификат.
Завершив запрос сертификата, откройте консоль MMC, добавьте оснастку Certificates и найдите сертификат, который вы только что получили. Вы можете видеть, что у вас есть соответствующий закрытый ключ для этого сертификата, потому что на его значке есть маленький ключ. Щелкните правой кнопкой мыши и экспортируйте его, и убедитесь, что вы экспортируете закрытый ключ вместе с ним. Мастер должен попросить вас защитить файл паролем.
Теперь вы можете перенести этот экспортированный сертификат с его закрытым ключом на любой другой сервер, который вам нравится. Будьте очень осторожны с этим файлом, поскольку он содержит как открытый, так и закрытый ключ для этого сертификата, поэтому вы, очевидно, хотите сохранить его в безопасности.
Если с вашим SSL-сертификатом не связан закрытый ключ, существует служебная программа восстановления из командной строки, которая повторно связывает закрытый ключ с импортированным сертификатом:
Найдите сертификат в соответствующем магазине и дважды щелкните по нему. Перейдите на вкладку подробностей и скопируйте серийный номер. Откройте административную командную строку и выполните следующую команду:
certutil -repairstore мой "Серийный номер"
Вставьте серийный номер точно так, как указано. После запуска утилиты обновите оснастку MMC, и теперь вы должны увидеть символ ключа в верхнем левом углу, указывающий, что закрытый ключ связан с новым сертификатом.