Est-il nécessaire de générer la CSR (Certificate Signing Request) sur la même machine qui hébergera mon application web et mon certificat SSL?
Cette page sur SSL Shopper le dit, mais je ne sais pas si c'est vrai, car cela signifierait que je devrais acheter un certificat SSL distinct pour chaque serveur de mon cluster.
Qu'est-ce qu'une CSR? Une demande de signature de certificat ou de CSR est un bloc de texte chiffré généré sur le serveur sur lequel le certificat sera utilisé.
Non. Il n'est pas nécessaire de générer la CSR sur la machine sur laquelle vous souhaitez héberger le certificat résultant. La CSR does doit être générée soit en utilisant la clé privée existante avec laquelle le certificat sera finalement associé, soit sa clé privée correspondante est générée dans le cadre du processus de création de la CSR.
L'important n'est pas tant l'hôte d'origine que la clé privée et la clé publique résultante sont une paire correspondante.
kce est tout à fait correct, il n'est absolument pas nécessaire de le faire sur la même machine, mais cela doit être fait à partir de la clé privée appropriée.
La seule raison pour laquelle je poste une deuxième réponse est parce que personne n'a dit pourquoi vous pourriez vouloir faire une telle chose. Presque chaque jeu de clés/CSR que je génère se fait à partir de mon ordinateur portable ou de bureau, puis la clé est copiée en toute sécurité sur le serveur sur lequel le certificat sera installé et la CSR est envoyée à l'agence de signature. La raison en est l'entropie: les certificats SSL sont généralement utilisés pour sécuriser les serveurs, et les serveurs ont souvent des pools d'entropie très peu profonds, ce qui affaiblit les paires de clés qu'ils créent ou rend la création longue. Les ordinateurs de bureau, d'autre part, ont une source utile d'aléatoire connectée via des câbles clavier/souris, et ont donc tendance à avoir des pools d'entropie profonds. Ils constituent donc de bien meilleures plates-formes pour les opérations qui nécessitent des nombres aléatoires de haute qualité, la génération de paires de clés étant l'un de ces objectifs.
Ainsi, non seulement la clé/CSR peut être générée hors serveur, mais je trouve qu'il y a souvent une bonne raison de le faire.