既存のComodoExtendedValidation証明書にWHM/cPanelを使用するSSL更新プロセスで何かが混乱しています。
コモドから交換用の証明書が発行されましたが、CSRを提出する必要はありません。このサーバーのWHMにアクセスできる人が3人いるので、「私は信じています」と言いますが、昨年は誰もいじっていなかったと確信しています。
この音は可能ですか?代替品の場合、CSRなしで証明書を提供できますか?私はComodoを手に入れようとしますが、週末であり、古い証明書が1日でなくなるのを見て、stackHiveMindに相談すると思いました:)
詳細:テストとして、新しい証明書をインストールして既存の秘密鍵を「フェッチ」しようとしましたが、送信しようとすると、次のエラーが発生 します:エラーのためにSSLインストールが中止されました:モジュールの不一致、キーファイル証明書と一致しません。正しいキーファイルを使用してください
場合によっては、はい、できます。PEM形式のRSA秘密鍵があるとすると、これにより公開鍵が抽出されます(証明書は生成されません)。
openssl rsa -in key.pem -pubout -out pubkey.pem
これにより、秘密鍵ファイルから取得した公開鍵を使用して新しいCSRが作成されます。
openssl req -new -key key.pem -out host.csr
厳密に言えば、CAは証明書を発行するためにCSRを提出する必要がないことに注意してください。必要なのは公開鍵(既存の証明書を介してアクセスできる公開鍵)だけです。サブジェクトDNと属性を添付して、連絡することなく証明書として発行できる可能性があります。もちろん、そのような慣行は彼らの方針と両立しないかもしれませんが、技術的にはそれは可能です。CSRは、公開鍵を送信して証明書を要求し、必要な名前と属性(全員が一緒に署名する)を送信するための便利な形式にすぎません。
エラーのためにSSLインストールが中止されました:モジュラスの不一致、キーファイルが証明書と一致しません。正しいキーファイルを使用してください
証明書の操作を適切に行った場合、これは、発行された新しい証明書が、自分とは異なるキーペアに対して発行されたことを示している可能性があります。他の誰かが自分のキーペアを使用してCSRを発行し、この証明書を発行した可能性があるため、これは不正行為を示している可能性があります(これは、EV証明書についても話しているので、非常に心配になる可能性があります。これに対する追加の保護。)
新しい証明書を要求した場合は同僚に確認するか、CAに連絡して新しい証明書を受け取った理由を確認することをお勧めします。以前の公開鍵を使用して証明書を更新することは、既存のパッケージの一部である可能性があります。同じ公開鍵を使用している場合は問題ありませんが、証明書を更新するときに、鍵の材料を変更する、つまり新しい鍵ペアからのCSRを送信することをお勧めします。