Закрытый ключ и пароль к нему

Возвращаясь к неоднократно задаваемым вопросам, давайте рассмотрим еще одно часто встречающееся заблуждение у некоторых пользователей касательно приватного ключа. Многие считают, что приватный ключ формируется непосредственно в центре сертификации и/или находится под его контролем. Немало и тех, кто уверен, что доступ к приватному ключу имеется также и у партнера-представителя удостоверяющего центра. И, как следствие, появилось часто встречающееся ошибочное мнение о том, что и пароль к приватному ключу также выпускается и/или контролируется вышеуказанными структурами.

На самом деле, приватный ключ, как и пароль (или кодовая фраза) к нему, формируются в момент генерации CSR запроса на сервере, а пароль к приватному ключу является необязательной опцией. С помощью специальной команды Вы можете дать разрешение или наоборот запретить создание пароля для приватного ключа. Выбор остается за Вами, но удостоверяющие центры, как правило, рекомендуют ставить пароль, ведь его непроставление будет означать, что закрытый ключ становится более уязвимым и может быть скомпроментирован.

Если Вы установили пароль (кодовую фразу) для своего приватного ключа, но по каким-либо причинам хотите его удалить, то Вам необходимо воспользоваться следующей командой на сервере:

openssl rsa -in [file1.key] -out [file2.key]

Затем введите Ваш пароль (кодовую фразу), и файл [file2.key] теперь не будет ею защищен. Пожалуйста, убедитесь, что доступ к чтению файла разрешен только для пользователя "root" или "web server user". Предпочтительно также запускать (стартовать) сервер в качестве пользователя "root", но работать как другой сервер таким образом, чтобы приватный ключ был доступен для чтения только для "root".

Вышеуказанный способ удаления пароля не подойдет, если Вы не знаете самого пароля. В этом случае Вы можете сгенерировать новый CSR запрос с закрытым ключом без пароля и отправить SSL-сертификат на перевыпуск с последующей установкой.

Также отдельно стоит отдельно рассказать случай, когда CSR запрос формируется с помощью сторонних онлайн сервисов. Как правило, такие сервисы по умолчанию проставляют опцию формирования приватного ключа без пароля.

Во время генерации CSR запроса или в момент установки SSL-сертификата на сервере у клиентов, как правило, возникает достаточно большое количество вопросов. Вы всегда можете связаться со службой технической поддержки удостоверяющего центра напрямую. Но если у Вас возникают некоторые сложности, связанные с языковым барьером, отсутствием времени и др., то Вы всегда можете обратиться к официальным партнерам центров сертификации.

Одним из таких партнеров является компания ЛидерТелеком - первый и единственный в России и странах СНГ стратегический партнер Comodo, а также первый в России партнер Symantec, получивший статус Symantec WSS специалист. В компании ЛидерТелеком Вы можете приобрести такие SSL-сертификаты, как: Comodo SSL- сертификаты: http://www.instantssl.su/ UCC SAN - сертификаты: http://www.getucc.ru/ Thawte сертификаты: http://www.thawte.su/ Symantec (Verisign) сертификаты: http://symantec.leadertelecom.ru/