На одном из сайтов моих новых клиентов у меня есть сертификат SSL, срок действия которого истекает. Мой провайдер уведомил меня об истечении срока действия. Предыдущий администратор был довольно подробным, и я нашел .CSR, который использовался для запроса сертификата, срок действия которого истекает.
Однако этот хост является хостом Debian, и я подтвердил, что .CSR был сгенерирован, когда Debian страдал от проблемы генерации случайных чисел OpenSSL.
Так. Теперь, когда я обновил OpenSSL на моем хосте debian, я предполагаю, что мне нужно регенерировать .CSR для обновления. Есть ли способ узнать, какие значения использовались в имеющемся у меня .CSR, чтобы убедиться, что новый .CSR согласован?
Попробуй это:
openssl req -in file.csr -noout -text
На будущее вам даже не понадобится исходный CSR.
Вы можете создать новый запрос из существующего сертификата x509.
openssl x509 -x509toreq -in file.crt -signkey file.key -out file.csr
Как правило, почти все команды OpenSSL поддерживают флаги, на которые правильно отвечают другие.
-noout -text
Которые просто предотвращают вывод PEM и вместо этого отображают удобочитаемый контент.
Если ключ был сгенерирован на сервере Debian или Ubuntu, в то время как openssl имел неисправный генератор случайных чисел, вы должны восстановить ключ. Не создавайте просто новый CSR из старого ключа. Вы по-прежнему достойны награды. Получив новый ключ, вы можете создать новый CSR с правильными значениями.
openssl req -text -noout -in FILENAME.csr
должен сделать свое дело.
Я полностью согласен с Дэвидом Пэшли (но мне есть что добавить ...).
Уязвимы сами ключи, а не csr! Нет смысла восстанавливать csr, вам нужно регенерировать свои ключи!
Большинство центров сертификации даже не принимает запросы на подпись, связанные с этими «скомпрометированными» ключами.
А вот несколько полезных ссылок:
В зависимости от ТОЧНОСТИ того, что вы пытаетесь здесь сделать, но если мы говорим об обычном SSL-сертификате, используемом с веб-серверами, иногда простое решение - просто открыть сайт (https://www.mywebsite.com) и посмотрите там свойства сертификата.
Щелкните правой кнопкой мыши «замок» в браузере, когда он находится в режиме HTTPS / SSL, и вы сможете увидеть почти все введенные значения.
Надеюсь это поможет.
Вы также, вероятно, сможете выяснить, какая информация была помещена в исходный CSR, проверив текущий сертификат:
openssl x509 -in <certfile> -text -noout