我对使用 WHM/cPanel 进行现有 Comodo 扩展验证证书的 SSL 更新过程中的某些内容感到困惑。
Comodo 已向我们颁发了替换证书,但我相信,每次都没有为他们提交 CSR。我说“我相信”,因为有 3 个人可以访问此服务器的 WHM,但我确信去年没有人在摆弄。
这听起来可能吗?如果证书是替代品,是否可以在没有 CSR 的情况下提供证书?我将尝试获取 Comodo,但在周末,看到旧证书在一天之内用完,我想我会咨询 stackHiveMind :)
更多信息:作为测试,我尝试安装新证书并“获取”现有私钥,但是当我尝试提交时出现以下错误: SSL 安装因错误而中止:模数不匹配,密钥文件与证书不匹配。请使用正确的密钥文件
在某些情况下,是的,你可以。假设您有一个 PEM 格式的 RSA 私钥,这将提取公钥(它不会生成证书):
openssl rsa -in key.pem -pubout -out pubkey.pem
这将使用从私钥文件中获得的公钥创建一个新的 CSR。
openssl req -new -key key.pem -out host.csr
请注意,严格来说,CA不需要您提交 CSR 来颁发证书。它所需要的只是公钥(它可以通过您现有的证书访问它)。它可能会附加任何主题 DN 和属性并将其作为证书颁发,而无需与您联系。当然,这样的做法可能与他们的政策不相容,但从技术上讲,这是可能的。CSR 只是一种方便的格式,您可以发送公钥来请求证书,并提交您想要的名称和属性(你们都一起签名)。
SSL 安装因错误而中止:模数不匹配,密钥文件与证书不匹配。请使用正确的密钥文件
如果您已正确完成证书操作,这可能表明您颁发的新证书是针对与您的不同的密钥对颁发的。这可能表明犯规,因为其他人可能已经使用他们自己的密钥对发布了 CSR,并且已经向他们颁发了这个证书(这可能非常令人担忧,因为你也在谈论 EV 证书,它应该有对此的额外保护。)
我建议与您的同事核实是否有任何人要求新证书或联系您的 CA 以了解您收到新证书的原因。使用以前的公钥更新证书可能是其现有包的一部分。如果它使用相同的公钥,这不是问题,尽管最好在更新证书时更改密钥材料,即提交来自新密钥对的 CSR。