سؤال ما هي كلمة مرور التحدي؟


أقوم بإعداد SSL على خادم Ubuntu. أحد المجالات التي يطلبها كجزء من إعداد CSR هو "كلمة مرور للتحدي". ما هذا؟ الافتراضي هو فارغ. هل أحتاج إلى إدخال واحد؟


155
2018-05-04 14:34


الأصل




الأجوبة:


كلمة "تحدي كلمة المرور" المطلوبة كجزء من جيل المسؤولية الاجتماعية للشركات ، تختلف عن عبارة المرور المستخدمة لتشفير المفتاح السري (مطلوبة في وقت إنشاء المفتاح ، أو عندما يتم تشفير مفتاح نص عادي لاحقًا - ثم تتم المطالبة مرة أخرى في كل مرة تبدأ الخدمة التي تستخدم SSL والتي تستخدمها).

في ما يلي مفتاح يتم إنشاؤه ، وبداية المفتاح الذي تم إنشاؤه:

$ openssl genpkey -algorithm rsa -out foo.key
............++++++
...++++++

$ head -3 foo.key
-----BEGIN PRIVATE KEY-----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy//r/S
eeK/gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

لا يحتوي هذا المفتاح على عبارة مرور. لم أطلب من أحد عند الخلق ، ولم أدخل واحدة. الآن ، دعنا نولد مفتاحًا مشفرًا:

$ openssl genpkey -algorithm rsa -des3 -out bar.key
...........................................++++++
.....................................++++++
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

$ head -3 bar.key
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIICxjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQInfwj1iv3icMCAggA
MBQGCCqGSIb3DQMHBAizMHBklBexiwSCAoDtRKf1WtMiVMH7HraGTIG0rlQS6Xuj

لذا يجب أن يكون واضحًا ما هو المفتاح الخاص المشفر (أي apache ، أو أي خادم آخر يدعم SSL ، سيحتاج إلى إلغاء القفل له عند بدء تشغيله) ويبدو أن مفتاحًا خاصًا عاديًا (لا يتطلب إلغاء القفل في وقت بدء الخدمة) . الآن سأقوم بتوليد CSR مع كلمة تحدي من غير مشفرة مفتاح:

$ openssl req -new -key foo.key
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:asdfasdf
An optional company name []:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

ولإظهار أن المفتاح لم يصبح مشفرًا بطريقة سحرية:

$ head -3 foo.key
-----BEGIN PRIVATE KEY-----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy//r/S
eeK/gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

لذا أقول مرة أخرى: "كلمة مرور التحدي" المطلوبة كجزء من جيل المسؤولية الاجتماعية للشركات هو ليس نفس الشيء مثل عبارة المرور المستخدمة لتشفير المفتاح السري. إن "كلمة المرور الخاصة بالتحدي" هي في الأساس إشارة سرية مشتركة بينك وبين مُصدر شهادة SSL (يعرف أيضًا باسم المرجع المصدق أو CA) ، والمضمنة في CSR ، والتي قد يستخدمها المُصدر لمصادقتك إذا احتجت إلى ذلك. تجعل بعض مصدري شهادات SSL ذلك أكثر وضوحًا من الآخرين ؛ نظرة أسفل في أسفل هذه الصفحة لنرى أين يقولون أن هناك حاجة إلى كلمة المرور التحدي - انها ليس عند إعادة تشغيل apache:

إذا اخترت إدخال كلمة مرور التحدي واستخدامها ، فستحتاج إلى ذلك   للتأكد من حفظ كلمة المرور هذه في مكان آمن. اذا أنت   تحتاج إلى إعادة تثبيت الشهادة الخاصة بك لأي سبب من الأسباب ، سوف تكون   مطلوب لإدخال كلمة المرور هذه.


138
2018-05-04 15:29



هل هناك فرق بين "مُصدّر SSL" و CA (المرجع المصدق)؟ - Jonathan
من الناحية الفنية ، فإنهم لا يصدرون بروتوكول طبقة المقابس الآمنة نفسه ، ولكنهم متوافقون مع شهادة SSL. أشعر أن مُصدّر طبقة المقابس الآمنة أقل وضوحًا. سيكون مصدر شهادة SSL واضحًا ، في رأيي المتواضع. - Jonathan
جدا (جدا) إجابة كاملة ، عندما لم يكن هناك حاجة IMHO. استنادًا إلى السؤال المطروح ، يمكنك إزالة جميع إجابتك فيما عدا أن تتبع "كلمة المرور الخاصة بالتحدي" هو في الأساس مادة غير مشتركة بين المشتركين ... ". أعتقد أنه كان من الممكن أن يجيب على السؤال المطروح تمامًا تمامًا ، مع معلومات غير ملائمة أقل أهمية. - joe
joe شكرا! ما لا يمكنك رؤيته (لأنه ليس لديك مندوب) هو أنني كنت أرد على إجابة سابقة محذوفة من قبل مستخدم تم تقييمه بدرجة عالية جدًا (والذي كان في هذه الحالة ، لسوء الحظ ، خطأ) لذا كان عليك القيام به نقض بنقطة. إن حذفها اللاحق ، الذي لم يقم به مؤلفها ، يجعل نظرتي تبدو غريبة بعض الشيء ، ولكن حتى الآن اخترت أن أتركها قائمة. إذا كان هناك عدد كافٍ من الآخرين يدعم وجهة نظرك من خلال مراجعة تعليقك ، فسأعدّل إجابتي. - MadHatter
شعرت بالحيرة من هذا السؤال نفسه ، ووجدت أن هذه الإجابة ليست مفيدة لفهمي المحدود للموضوع (بسبب الطريقة التي تمت كتابتها) ، ولكن لحسن الحظ وجدت جوابي من security.stackexchange.com/a/77082/67048 - zagrimsan