Pregunta ¿Qué es una contraseña de desafío?


Estoy configurando SSL en un servidor Ubuntu. Uno de los campos que solicita como parte de la configuración de la CSR es una "contraseña de desafío". ¿Que es eso? El valor predeterminado es en blanco. ¿Necesito ingresar uno?


155
2018-05-04 14:34


origen




Respuestas:


La "contraseña de desafío" solicitada como parte de la generación de CSR, es diferente de la frase de contraseña utilizada para cifrar la clave secreta (solicitado en el momento de la generación de claves, o cuando una clave de texto sin formato se cifra posteriormente, y luego se vuelve a solicitar cada vez que se inicia el servicio habilitado para SSL que lo usa).

Aquí se genera una clave y el comienzo de la clave generada:

$ openssl genpkey -algorithm rsa -out foo.key
............++++++
...++++++

$ head -3 foo.key
-----BEGIN PRIVATE KEY-----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy//r/S
eeK/gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

Esta clave no tiene frase de contraseña. No me pidieron uno en la creación y no he ingresado uno. Ahora, vamos a generar una clave encriptada:

$ openssl genpkey -algorithm rsa -des3 -out bar.key
...........................................++++++
.....................................++++++
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

$ head -3 bar.key
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIICxjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQInfwj1iv3icMCAggA
MBQGCCqGSIb3DQMHBAizMHBklBexiwSCAoDtRKf1WtMiVMH7HraGTIG0rlQS6Xuj

Por lo tanto, debe quedar claro cómo se debe desbloquear una clave privada cifrada (que apache, o cualquier otro servidor habilitado para SSL cuando se inicie) y una clave privada de texto simple (que no requiere desbloqueo al momento del servicio) . Ahora generaré una RSE. con una contraseña de desafío de la sin cifrar llave:

$ openssl req -new -key foo.key
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:asdfasdf
An optional company name []:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Y solo para demostrar que la clave no se ha cifrado mágicamente:

$ head -3 foo.key
-----BEGIN PRIVATE KEY-----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy//r/S
eeK/gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

Así que lo repito: la "contraseña de desafío" solicitada como parte de la generación de CSR es no lo mismo que una frase de contraseña utilizada para cifrar la clave secreta. La "contraseña de desafío" es básicamente un nonce secreto compartido entre usted y el emisor del certificado SSL (también conocido como Autoridad de Certificación o CA), incrustado en la CSR, que el emisor puede usar para autenticarlo en caso de que sea necesario. Algunos emisores de certificados SSL lo hacen más claro que otros; Mira abajo en la parte inferior de esta página para ver dónde dicen que se necesita la contraseña de desafío, es no cuando reinicie apache:

Si elige ingresar y usar una contraseña de desafío, necesitará   para asegurarse de guardar esa contraseña en un lugar seguro. Si tu   Si alguna vez necesita volver a instalar su certificado por cualquier motivo, será   requerido para ingresar esa contraseña.


138
2018-05-04 15:29



¿Hay alguna diferencia entre un "Emisor SSL" y una CA (Autoridad de certificación)? - Jonathan
Técnicamente no emiten el protocolo SSL en sí, sino un certificado compatible con SSL. Siento que el emisor SSL es menos claro. Emisor de certificados SSL sería claro, en mi humilde opinión. - Jonathan
Respuesta muy (muy) completa, cuando no se necesitaba una IMHO. De acuerdo con la pregunta, puede eliminar todas sus respuestas, excepto que la siguiente "La contraseña de desafío" es básicamente una fuente secreta compartida ... ". Creo que habría respondido a la pregunta formulada de la misma manera, con menos información que no nos distraiga. - joe
@joe gracias! Lo que no puede ver (porque no tiene el representante) es que estaba respondiendo a una respuesta anterior borrada desde entonces por un usuario altamente calificado (que estaba en este caso, desafortunadamente, mal), así que tuve que hacerlo. una refutación punto por punto. Su posterior eliminación, que no fue realizada por su autor, hace que la mía parezca un poco rara, pero hasta ahora he decidido dejarla en pie. Si otros suficientes apoyan tu punto de vista al elevar tu comentario, enmendaré mi respuesta. - MadHatter
Esta misma pregunta me desconcertó y me pareció que esta respuesta no era tan útil para mi limitada comprensión del tema (debido a la forma en que está escrita), pero afortunadamente encontré mi respuesta de security.stackexchange.com/a/77082/67048 - zagrimsan