שאלה מהי סיסמת אתגר?


אני מגדיר SSL בשרת אובונטו. אחד השדות שהוא מבקש כחלק מהקמת אחריות חברתית הוא "סיסמת אתגר". מה זה? ברירת המחדל ריקה. האם אני צריך להזין אחד?


155
2018-05-04 14:34






תשובות:


"סיסמת האתגר" המבוקשת כחלק מדור האחריות החברתית, שונה משפת הסיסמה המשמשת להצפנת המפתח הסודי (המבוקש בעת יצירת מפתח, או כאשר מפתח טקסט מוצפן מאוחר יותר - ולאחר מכן ביקש שוב בכל פעם שירות מופעל SSL המשתמשת בו מתחיל).

הנה מפתח שנוצר, ואת ההתחלה של המפתח שנוצר:

$ openssl genpkey -algorithm rsa -out foo.key
............++++++
...++++++

$ head -3 foo.key
-----BEGIN PRIVATE KEY-----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy//r/S
eeK/gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

למפתח זה אין ביטוי-סיסמה. לא הוצאתי את דעתי אל הבריאה, ולא נכנסתי אליה. עכשיו, בואו ליצור מפתח מוצפן:

$ openssl genpkey -algorithm rsa -des3 -out bar.key
...........................................++++++
.....................................++++++
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

$ head -3 bar.key
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIICxjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQInfwj1iv3icMCAggA
MBQGCCqGSIb3DQMHBAizMHBklBexiwSCAoDtRKf1WtMiVMH7HraGTIG0rlQS6Xuj

אז זה צריך להיות ברור מה מפתח מוצפן פרטית (אשר אפאצ 'י, או כל שרת SSL מאופשר אחרים, יהיה צורך unlocking עבור זה כאשר הוא מתחיל) ועל מפתח פרטי בטקסט (אשר אינו מחייב לפתוח בזמן שירות השירות) נראה כמו . עכשיו אני ייצור CSR עם סיסמת אתגר מ לא מוצפן המפתח you

$ openssl req -new -key foo.key
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:asdfasdf
An optional company name []:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

רק כדי להראות כי המפתח לא קסם להיות מוצפן:

$ head -3 foo.key
-----BEGIN PRIVATE KEY-----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy//r/S
eeK/gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

אז אני אומר שוב: "אתגר הסיסמה" ביקש כחלק הדור CSR הוא לא אותו דבר כמו ביטוי סיסמה המשמש להצפנת המפתח הסודי. "סיסמת האתגר" היא ביסודו של דבר סוד סודי בינך לבין מנפיק אישור SSL (רשות אישורים, או CA), המוטבע ב אחריות חברתית, אשר המנפיק רשאי להשתמש כדי לאמת אותך צריך אי פעם להיות נחוץ. כמה מנפיקי אישורי SSL עושים את זה ברור יותר מאחרים; תראה למטה בתחתית דף זה כדי לראות איפה הם אומרים את הסיסמה האתגר נחוץ - זה לא בעת הפעלה מחדש של apache:

אם תבחר להזין סיסמת אתגר ולהשתמש בה, תזדקק   כדי לוודא שאתה שומר את הסיסמה במקום מאובטח. אם אתה   אי פעם צריך להתקין מחדש את האישור שלך מכל סיבה שהיא, אתה תהיה   נדרש להזין את הסיסמה.


138
2018-05-04 15:29



האם יש הבדל בין "מנפיק SSL" לבין רשות אישורים (CA)? - Jonathan
מבחינה טכנית הם לא מנפיקים את פרוטוקול SSL עצמו, אלא תעודת SSL תואמת. אני מרגיש כמו מנפיק SSL הוא פחות ברור. מנפיק תעודת SSL יהיה ברור, לעניות דעתי. - Jonathan
מאוד (מאוד) תשובה מלאה, כאשר לא היה צורך IMHO. בהתבסס על השאלה שנשאלה, תוכל לבטל את כל תשובתך, פרט לכך ש"סיסמת האתגר "היא בעצם" סוד סודי ". אני מאמין שזה היה עונה על השאלה שנשאלה בדיוק כמו, עם מידע פחות distracting לא רלוונטי. - joe
@ תודה! מה שאתה לא יכול לראות (כי אין לך נציג) הוא שאני הגיב לתשובה מוקדמת מאז נמחק על ידי משתמש מאוד מדורג (שהיה במקרה זה, למרבה הצער, טועה) כך היה צריך לעשות הכחשה נקודתית. המחיקה שלה, שלא נעשתה על ידי מחברו, עושה את שלי נראה קצת מוזר, אבל עד עכשיו בחרתי לתת לזה לעמוד. אם מספיק אחרים לתמוך נקודת המבט שלך על ידי upvoting את ההערה שלך, אני יהיה לתקן את התשובה שלי. - MadHatter
הייתי מבולבל על ידי אותה שאלה מאוד, ומצאתי את התשובה הזאת לא מועיל הבנה מוגבלת שלי של הנושא (בגלל הדרך שבה הוא כתוב), אבל למרבה המזל מצאתי את התשובה שלי http://stackexchange.com/a/77082/67048 - zagrimsan