我对使用WHM / cPanel进行现有Comodo扩展验证证书的SSL续订过程感到困惑。
我们已经获得了Comodo的替代证书 - 我相信 - 每个人都为他们提交CSR。我说“我相信”,因为这台服务器有3个人可以访问WHM,但我确信去年没有人在摆弄。
这听起来有可能吗?如果是替代品,可以在没有CSR的情况下提供证书吗?我会尝试抓住Comodo,但是要成为一个周末,并且看到旧证书在一天内耗尽,我以为我会咨询stackHiveMind:)
更多信息: 作为测试,我尝试安装新的证书并“获取”现有的私钥,但是当我尝试提交时,我收到以下错误: SSL安装因错误而中止:模数不匹配,密钥文件与证书不匹配。请使用正确的密钥文件
答案 0 :(得分:5)
在某些情况下,是的,你可以。假设您有一个PEM格式的RSA私钥,这将提取公钥(它不会生成证书):
openssl rsa -in key.pem -pubout -out pubkey.pem
这将使用从私钥文件中获取的公钥创建新的CSR。
openssl req -new -key key.pem -out host.csr
请注意,严格来说,CA并不需要您提交CSR以颁发证书。它所需要的只是公钥(它可以通过您现有的证书访问它)。它可能会附加任何主题DN和属性,并将其作为证书颁发,而无需与您联系。当然,这些做法可能与他们的政策不相符,但从技术上讲,这是可能的。 CSR只是一种方便的格式,您可以发送公钥来申请证书,并提交您想要的名称和属性(您可以一起签名)。
由于错误导致SSL安装中止:模数不匹配,密钥文件没有 匹配证书。请使用正确的密钥文件
如果您已正确完成证书操作,则可能表示您已颁发的新证书是针对与您的密钥对不同的密钥对发出的。这可能表明犯规行为,因为其他人本可以用他们自己的密钥对发布CSR并且已经发给他们这个证书(这可能非常令人担忧,因为你也在谈论EV证书,这应该是对此的额外保护。)
我建议您与同事核实是否有人申请了新证书或联系您的CA以了解您收到新证书的原因。使用以前的公钥更新证书可能是其现有包的一部分。如果它使用相同的公钥,那么这不是问题,尽管更新密钥材料更好,即在更新证书时提交来自新密钥对的CSR。