我对使用 WHM/cPanel 对现有 Comodo 扩展验证证书进行 SSL 续订过程中的某些事情感到困惑。
Comodo 已向我们颁发了替换证书,我相信每个人都没有为他们提交 CSR。我说“我相信”是因为有 3 个人可以访问此服务器的 WHM,但我确信在过去的一年里没有人在摆弄。
这听起来可能吗?如果更换证书,可以在没有 CSR 的情况下提供证书吗?我将尝试获取 Comodo,但在周末,看到旧证书在一天内用完,我想我会咨询 stackHiveMind :)
更多信息: 作为测试,我尝试安装新证书并“获取”现有私钥,但是当我尝试提交时,出现以下错误: SSL 安装因错误而中止:模数不匹配, key 文件与证书不匹配。请使用正确的 key 文件
最佳答案
在某些情况下,是的,您可以。假设您有一个 PEM 格式的 RSA 私钥,这将提取公钥(它不会生成证书):
openssl rsa -in key.pem -pubout -out pubkey.pem
这将使用从私钥文件中获取的公钥创建一个新的 CSR。
openssl req -new -key key.pem -out host.csr
请注意,严格来说,CA 不需要您提交 CSR 来颁发证书。它所需要的只是公钥(它将可以通过您现有的证书访问)。它可能会附加任何主题 DN 和属性并将其作为证书颁发,而无需与您联系。当然,这样的做法可能不符合他们的政策,但从技术上讲,这是可能的。 CSR 只是一种方便的格式,供您发送公钥以请求证书,并提交您想要的名称和属性(你们一起签名)。
SSL install aborted due to error: Modulus mismatch, key file does not match certificate. Please use the correct key file
如果您已正确完成证书操作,这可能表明您获得的新证书是根据与您的不同的 key 对颁发的。这可能表明犯规,因为其他人可能已经使用他们自己的 key 对颁发了 CSR,并且已经向他们颁发了该证书(这可能非常令人担忧,因为您也在谈论 EV 证书,它应该有针对此的额外保护。)
我建议与您的同事核实是否有人申请了新证书,或者联系您的 CA 以查明您收到新证书的原因。使用以前的公钥更新证书可能是他们现有包的一部分。如果它使用相同的公钥,这不是问题,但更好的做法是在更新证书时更改 key Material ,即提交来自新 key 对的 CSR。
关于ssl - 可以在没有 CSR 和使用旧私钥的情况下颁发证书吗,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9342814/