为什么在建立企业社会责任的过程中使用私钥？

Question

创建CSR主要是为了创建具有可信公钥的证书。

在创建企业社会责任之前，

我们创建一个私钥

openssl genrsa -out key.pem 1024

然后使用私钥(key.pem)创建CSR(req.pem)请求。

openssl req -new -key key.pem -out req.pem

编辑：

我看到码头引擎安装了根证书、服务器证书和与CSR一起使用的私有证书。

​

​

在提交企业社会责任时提供私钥(key.pem作为输入)的确切目的是什么？因为证书应该用父私钥签名。

在CSR创建过程中，是否需要私钥(key.pem)来生成相应的公钥？

或

私钥(key.pem)是否用于加密CSR并将结果签名附加到CSR？

Answer 1

对PKCS#10证书请求(RFC 2986)的结构进行了松散的描述：

Request:
    Info:
        Version
        Name
        PublicKey
        Attributes
    SignatureAlgorithmIdentifier
    Signature

这些属性是请求的属性，其中一个属性可能是您请求生成的证书的属性。

CA可以根据自己的选择尊重企业社会责任，也可以尊重企业社会责任。例如，StartSSL只读取公钥信息，并放弃剩余的CSR --他们所需要的其他一切都是基于您从web和您的帐户状态提出的请求。

一般来说，CA不会忽略公钥值，因为如果他们为您断言了一个新的密钥区，那么他们需要知道您应该如何获得私钥。因此，公开密钥部分需要在场和正确。OpenSSL的命令可以通过读取私钥获取公钥值，然后将其嵌入到CSR中。

您需要私钥的第二个原因是对请求进行签名。我将断言，签名请求的主要原因是强制/强烈建议您在此阶段保存私钥，因此您不会在几分钟内返回“请撤销这个新证书，我已经丢失了私钥”请求。RFC (也)有这样的说法：

注2-认证请求上的签名阻止实体使用另一方的公钥请求证书。这种攻击将使该实体有小的能力假装是另一方签署的任何电文的发端人。只有当实体不知道正在签名的消息并且消息的已签名部分不标识签名者时，此攻击才是重要的。当然，该实体仍然无法解密给另一方的消息。