Obnovení privátního SSL klíče z certifikátu

[Mejvas]

Ahoj,
je nejaky zpusob jak znovu vygenerovat key file z existujiciho certifikatu?
Musim znova pouzit SSL certifikat, vygenerovany minuly rok. Bohuzel puvodni soubory nejskou k nalezeni. CRT+CA jsem si nechal znova poslat od geotrust, ale porad mi chybi privatni klic. Co s tim?

[Reklama]

[Náhodný kolemjdoucí]

Ahoj,
je nejaky zpusob jak znovu vygenerovat key file z existujiciho certifikatu?
Musim znova pouzit SSL certifikat, vygenerovany minuly rok. Bohuzel puvodni soubory nejskou k nalezeni. CRT+CA jsem si nechal znova poslat od geotrust, ale porad mi chybi privatni klic. Co s tim?

Záleží na tom jak moc silný ten původní privátní klíč je. Pokud je silný, obnovit ho nejde. Pokud je slabý, obnovit ho jde, ale vzhledem k tomu že to může udělat kdekdo tak je rozumnější ten certifikát zahodit a udělat nový, se silnějším klíčem.

[Mejvas]

Hm, to nejsou dobre zpravy. geotrust.com vyzaduje 2048bit delku klice, tudiz predpokladam, ze slaby nebude. Jde mi o to, ze takhle budu muset jit za sefem, at vyplazne znova 120 euro, coz se mu libit moc nebude.
Takze pokud mam CRT + CA a chybi mi KEY file, neexistuje zpusob jak dany certifikat znovu pouzit? Proste jedine reseni, cely proces znova?

[Náhodný kolemjdoucí]

Hm, to nejsou dobre zpravy. geotrust.com vyzaduje 2048bit delku klice, tudiz predpokladam, ze slaby nebude. Jde mi o to, ze takhle budu muset jit za sefem, at vyplazne znova 120 euro, coz se mu libit moc nebude.

Hmm, a kdyby náhodou šéf nadával jakto že tam je takový bordel že je možné ztratit tak důležitá data, ještě k tomu bude navíc mít pravdu.

Takze pokud mam CRT + CA a chybi mi KEY file, neexistuje zpusob jak dany certifikat znovu pouzit?

Pokud "znovu použít" myslíte dát na server který s ním bude obsluhovat běžné SSL klienty tak to doopravdy nejde - odvození privátního klíče z existujícího veřejného klíče (který je součástí certifikátu) je považováno za prolomení šifry, což se u zmiňovaných 2048 bitů klíče (předpokládám RSA, nic jiného se běžně v certifikátech nepoužívá) dnes považuje za nemožné.

Proste jedine reseni, cely proces znova?

Možná budete mít ten proces zjednodušený tím že u CA už jste zaregistrovaní, takže by mělo stačit už jen vygenerovat nový klíč, z něj CSR, to poslat CA a dostat nový certifikát. Některé CA za tento proces chtějí zaplatit.

[Ondřej Novák]

Hm, to nejsou dobre zpravy. geotrust.com vyzaduje 2048bit delku klice, tudiz predpokladam, ze slaby nebude. Jde mi o to, ze takhle budu muset jit za sefem, at vyplazne znova 120 euro, coz se mu libit moc nebude.
Takze pokud mam CRT + CA a chybi mi KEY file, neexistuje zpusob jak dany certifikat znovu pouzit? Proste jedine reseni, cely proces znova?

Ano, to je princip zabezpečení. Ztráta jakékoliv půlky znamená, že je druhá půlka nepoužitelná. Kdyby bylo možné z certifikátu vygenerovat původní klíč, pak by celé zabezpečený bylo k ničemu.

[Reklama]

[Mejvas]

To je vlastne taky pravda. Dekuju za utvrzeni toho, ceho jsem se obaval No coz, za blbost se plati. Oznamim to vyssim mistum. Diky za rychlou reakci

[Ondřej Novák]

To je vlastne taky pravda. Dekuju za utvrzeni toho, ceho jsem se obaval No coz, za blbost se plati. Oznamim to vyssim mistum. Diky za rychlou reakci

Teď ještě, jestli to je vaše chyba, nebo chyba někoho jiného. V tom druhém případe hodně štěstí, v tom prvním upřímnou soustrast.

[Mejvas]

Moje ne, jelikoz ja si tyto veci peclive zalohuju. V te dobe jsem tu sice uz pracoval, nicmene tyto veci mel na starosti clovek, po kterem jsem tyto neblahe problemy prevzal

[Tomas]

Nestalo by za pokus, paklize je to mozne, zeptat se na privatni klic osoby, ktera s nim pracovala(kolega po kterem jste to prebral)?
Ono treba to u sebe ma nebo aspon zalohu. I kdyz to je "majetek" firmy.

[Dan Ohnesorg]

Pokud ho potrebujete obnovit, tak je temer jiste, ze certifikat nekde pouzivate a tim padem asi tu privatni cast najdete tam, kde ji pouzivate. Dokonce i kdyby byla ulozena v sifrovaci karte, tak sice nebude mozne vytahnout, ale i tak je mozne vygenerovat nove CSR.

Navic pokud se jedna o Geotrust, tak nechapu, kde je ten rozdil 120 USD mezi obnovenim s klicem a bez klice. Geotrust naopak pri poslani obnoveni varuje, ze je pouzity stejny privatni klic a doporucuje jeho zmenu. A reissue pri ztrate privatniho klice je dokonce zdarma.

[Justas]

Ano, to je princip zabezpečení. Ztráta jakékoliv půlky znamená, že je druhá půlka nepoužitelná. Kdyby bylo možné z certifikátu vygenerovat původní klíč, pak by celé zabezpečený bylo k ničemu.

a první věta neplatí vždycky. Platí u RSA, kde je možno tajný a veřejný klíč zaměnit (jsou vygenerovány dva rovnocenné klíče). U DSA to ale nejde, a u ElGamalu se dokonce veřejný klíč přímo počítá z tajného.

[alfi]

A reissue pri ztrate privatniho klice je dokonce zdarma.

tohle bych taky čekal - kompromitace klíče se může stát. tedy zneplatnění původního certifikátu + vystavení nového by mělo/mohlo být zdarma nebo alespoň za lepší cenu? (s původní časovou platností)