可以在沒有CSR且使用舊私鑰的情況下頒發證書

Question

對於使用WHM / cPanel的現有Comodo擴展驗證證書的SSL續訂過程中的某些事情，我感到困惑。

我相信，Comodo已向我們頒發了替換證書，而我沒有為他們提交CSR。 我之所以說“我相信”，是因為有3個人可以訪問此服務器的WHM，但可以肯定的是，去年沒有人擺弄。

這聽起來可能嗎？ 如果可以替代CSR，可以提供沒有CSR的證書嗎？ 我將嘗試抓住Comodo，但要度過一個周末，並且看到舊證書在一天之內就用完了，我以為我應該去找stackHiveMind :)

更多信息：作為測試，我嘗試安裝新的證書並“獲取”現有的私鑰，但是當我嘗試提交時，出現以下錯誤： SSL安裝由於錯誤而中止：模數不匹配，密鑰文件與證書不匹配。 請使用正確的密鑰文件

Answer 1

在某些情況下，可以。 假設您擁有PEM格式的RSA私鑰，它將提取公鑰（它不會生成證書）：

openssl rsa -in key.pem -pubout -out pubkey.pem

這將使用從私鑰文件獲得的公鑰創建一個新的CSR。

openssl req -new -key key.pem -out host.csr

請注意，嚴格來說，CA 不需要您提交CSR來頒發證書。 它需要的只是公鑰（可以通過您現有的證書對其進行訪問）。 它可能會附加任何主題DN和屬性，並將其作為證書頒發，而無需與您聯系。 當然，這種做法可能與其政策不兼容，但從技術上講，這是可能的。 CSR只是一種方便的格式，您可以使用它發送公鑰以請求證書，並提交所需的名稱和屬性（所有人都一起簽名）。

SSL安裝由於錯誤而中止：模數不匹配，密鑰文件與證書不匹配。 請使用正確的密鑰文件

如果您已正確完成證書操作，則可能表明您已根據與您的密鑰對不同的密鑰對頒發了新證書。 這可能表示犯規，因為其他人可能已經用自己的密鑰對發出了CSR並已向他們頒發了此證書（這可能會讓人很擔心，因為您也正在談論EV證書，這應該具有對此的附加保護。）

如果有任何人要求新證書，我建議與您的同事進行核對，或者與您的CA聯系以了解為什么收到新證書。 使用先前的公共密鑰續訂證書可能是其現有軟件包的一部分。 如果使用相同的公鑰，這不是問題，盡管更改密鑰材料是更好的做法，即在更新證書時提交來自新密鑰對的CSR。