我对使用WHM/cPanel进行SSL更新过程中的某些内容感到困惑,因为它存在Comodo扩展验证证书。证书是否可以在没有CSR的情况下使用并使用旧的私钥
我们已经发布了Comodo的替代证书,但没有 - 我相信 - 每个人都为他们提交CSR。我说“我相信”,因为有3人可以访问此服务器的WHM,但我确信去年没有人摆弄过。
听起来可能吗?如果替代品是否可以提供没有CSR的证书?我会尝试拿到科莫多,但作为一个周末,并看到旧证书用完了一天,我想我会参考stackHiveMind :)
更多信息: 作为一个测试,我试过了安装新证书并“获取”现有私钥,但是当我尝试提交时,我收到以下错误: SSL安装由于错误而中止:模数不匹配,密钥文件与证书不匹配。请使用正确的密钥文件
在某些情况下,您可以。假设你在PEM格式的RSA私钥,这将提取的公共密钥(它不会生成证书):
openssl rsa -in key.pem -pubout -out pubkey.pem
这将创建一个公钥的新的CSR,从专用密钥获得文件。
openssl req -new -key key.pem -out host.csr
需要注意的是,严格地说,一个CA不需要您提交CSR以颁发证书。它所需要的只是公钥(它可以通过你现有的证书访问)。它可能附加任何Subject DN和属性,并将其作为证书颁发,而无需与您联系。当然,这些做法可能与其政策不相容,但从技术上讲,这是可能的。 CSR仅仅是一种方便的格式,可以让您发送公钥来请求证书,并提交您想要的名称和属性(您将全部签署)。
SSL install aborted due to error: Modulus mismatch, key file does not match certificate. Please use the correct key file
提供你做的证书操作不当,这可能表明您已经发布的新证书已经针对不同的密钥对比你发出。这可能表明犯规行为,因为其他人可能用自己的密钥对发布了CSR,并且已经向他们颁发了此证书(这可能令人非常担心,因为您也在谈论EV证书,这应该是有的对此的额外保护)
如果有人要求提供新证书或联系您的CA以查明您为什么收到新证书,我建议您与同事核对。使用先前的公钥更新证书可能是其现有软件包的一部分。如果使用相同的公钥,这不是问题,但更新证书时更改密钥材料(即提交来自新密钥对的CSR)是一种更好的做法。