【发布时间】:2019-06-21 18:28:55
【问题描述】:
我写信是为了问这个问题:当从 IIS(向导)发出新的通配符 SSL 证书请求时,是否启用了“私钥可导出”选项?因为一旦安装,我需要将新证书与私钥一起导出。
谢谢你, 卢卡
【问题讨论】:
标签: iis certificate ssl-certificate
【发布时间】:2019-06-21 18:28:55
【问题描述】:
如果您需要导出密钥(例如在其他服务器上安装相同的证书),您需要将私钥标记为可导出。否则,该证书将无法在任何其他机器上工作(因为密钥会有所不同)我认为这不是最佳实践。
【讨论】:
-
您好亚历山大,感谢您的反馈。我了解/知道私钥应标记为可导出,否则我无法将其导出并在其他系统中重新使用;但是当从 IIS(通过向导)生成新的 CSR 时,无法将私钥标记为可导出,所以我可以假设它标记为“在后台”可导出吗?
-
您可以使用 MMC(在 cmd 中键入)然后打开证书。如果您从那里请求它,您可以将密钥标记为可导出。
我找到了更安全的方法:
- 使用 openssl 生成 CSR 和私钥文件
- 将 CSR 提交给公共 CA
- 将公共 CA 颁发的证书从 CRT 转换为 PFX(包含私钥 - 未标记为可导出)
再见, 卢卡
【讨论】: