题 什么是挑战密码?


我在Ubuntu服务器上设置SSL。作为设置CSR的一部分,它要求的字段之一是“挑战密码”。那是什么?默认值为空。我需要输入吗?


155
2018-05-04 14:34






答案:


作为CSR生成的一部分请求的“质询密码”不同于用于加密密钥的密码(在密钥生成时请求,或稍后加密明文密钥 - 然后每次使用它的启用SSL的服务启动时再次请求)。

这是生成的密钥,以及生成密钥的开头:

$ openssl genpkey -algorithm rsa -out foo.key
............++++++
...++++++

$ head -3 foo.key
-----BEGIN PRIVATE KEY-----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy//r/S
eeK/gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

此密钥没有密码。我没有在创作时提示我,也没有输入。现在,让我们生成一个加密密钥:

$ openssl genpkey -algorithm rsa -des3 -out bar.key
...........................................++++++
.....................................++++++
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

$ head -3 bar.key
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIICxjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQInfwj1iv3icMCAggA
MBQGCCqGSIb3DQMHBAizMHBklBexiwSCAoDtRKf1WtMiVMH7HraGTIG0rlQS6Xuj

因此,应该清楚加密的私钥(apache或任何其他启用SSL的服务器在启动时需要解锁)和明文私钥(在服务启动时不需要解锁)看起来像。现在我将生成一个CSR  来自的挑战密码 加密 键:

$ openssl req -new -key foo.key
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:asdfasdf
An optional company name []:
-----BEGIN CERTIFICATE REQUEST-----
MIIBmzCCAQQCAQAwQjELMAkGA1UEBhMCWFgxFTATBgNVBAcMDERlZmF1bHQgQ2l0
eTEcMBoGA1UECgwTRGVmYXVsdCBDb21wYW55IEx0ZDCBnzANBgkqhkiG9w0BAQEF
AAOBjQAwgYkCgYEAn2M0Abg2jL/+v9J54r+ASAY5XQFmbQJiaBJAaPg/o3dwmw+U
awbzSopPFMXCgSJeczcFV4GkN1eEYq2Cmam3tH6t8mVDh0/UryJSWBsaFm9mh9RF
gIpP0hEkYZTf/0X+X06ukt9S/Id9Z/tVgPsZA3TcNjNhJfVaTm81/4ykq8UCAwEA
AaAZMBcGCSqGSIb3DQEJBzEKDAhhc2RmYXNkZjANBgkqhkiG9w0BAQUFAAOBgQCa
ivuDRBlHOhBjg6wPbH9NvCnvEnxeEAkYi0Sl/Grdo/WCk17e+sv9wgqEW1QSIdbV
XzMeWidurv4AtcATwhfk9tBcYBCTxANkTONzhJG7Yk9OAz8g8Ljo8EEvPf4oHqpw
tBg10DCD2op0lCwL2LBdPO3RG20f/HD6fEXPVxZdOQ==
-----END CERTIFICATE REQUEST-----

只是为了表明密钥没有神奇地加密:

$ head -3 foo.key
-----BEGIN PRIVATE KEY-----
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAJ9jNAG4Noy//r/S
eeK/gEgGOV0BZm0CYmgSQGj4P6N3cJsPlGsG80qKTxTFwoEiXnM3BVeBpDdXhGKt

所以我再说一遍:作为CSR生成的一部分要求的“挑战密码”是  与用于加密密钥的密码短语相同。 “质询密码”基本上是您与CSR中嵌入的SSL证书颁发者(也称为证书颁发机构或CA)之间的共享秘密随机数,发行人可以根据需要对其进行身份验证。一些SSL证书颁发者比其他人更清楚;看 在这个页面的底部 看看他们说需要挑战密码的地方 - 就是这样  当你重新启动apache时:

如果您选择输入并使用质询密码,则需要   确保将该密码保存在安全的地方。如果你   无论出于何种原因,您都需要重新安装证书   需要输入该密码。


138
2018-05-04 15:29



“SSL颁发者”和CA(证书颁发机构)之间是否存在差异? - Jonathan
从技术上讲,它们本身并不发布SSL协议,而是发布SSL兼容证书。我觉得SSL发行人不太清楚。我认为SSL证书发行人很清楚。 - Jonathan
非常(非常)完整的答案,当一个不需要恕我直言。根据提出的问题,你可以消除你的所有答案,除了在“The”挑战密码“基本上是一个共享秘密的nonce ......”之后。我相信这会完全回答所提出的问题,而不那么令人分心的非相关信息。 - joe
@joe谢谢!你看不到的东西(因为你没有代表)是我回应了一个非常高评价的用户(在这种情况下,不幸的是,这是错误的)之前删除的早期答案所以不得不这样做逐点反驳。它的后续删除,其作者没有完成,确实让我觉得有点奇怪,但直到现在我才选择让它站起来。如果有其他人通过支持你的评论来支持你的观点,我会修改我的答案。 - MadHatter
我对这个同样的问题感到困惑,并且发现这个答案对我对该主题的有限理解(由于它的编写方式)有所帮助,但幸运的是我从 security.stackexchange.com/a/77082/67048 - zagrimsan