没有 CSR 的内部 CA 签名证书（证书签名请求）答案

【问题标题】：Internal CA Signed Cert without CSR (Certificate Sign Request)没有 CSR 的内部 CA 签名证书（证书签名请求）
【发布时间】：2012-03-01 09:13:39
【问题描述】：

我们需要在我们的 Intranet 网站上提供安全的 SSL。谁能帮我在下面查询：

是否可以在没有 CSR 的情况下获得内部 CA 签名证书？

如果上面是“是”，它如何生成没有 CSR 的内部 CA 签名证书。

我想达到什么目的？

我们没有生产 IIS 设置。生产 IIS 只会在更改窗口期间设置。在此更改窗口期间，没有可用于生成 CA 签名证书的资源。对于给定的 CSR。因此，我们正在尝试预先创建 CA 签名证书，而无需设置 Prod IIS。

【问题讨论】：

从技术上讲，是的，这是可能的（请参阅this answer），但这可能会使程序更加复杂。你想达到什么目的？
感谢@Bruno，请查看我更新的问题。
不确定问题出在哪里。问题是因为您期望 IIS 为您生成 CSR 吗？您是否知道还有其他方法可以生成 CSR？
是的，问题是我们没有用于生产的 IIS 网站设置。创建 CSR 的其他方法是什么？

标签： ssl ssl-certificate

【解决方案1】：

证书签名请求 (CSR) 是一种在不泄露您的私钥的情况下将第三方纳入证书创建过程的工具。它本质上是一个编码信息包（包括公钥），可以发送给第三方进行签名。第三方收到 CSR，使用他们的中间证书或根证书对其进行签名，然后将证书发回给您。您新的闪亮证书文件现在是您的私钥文件的密钥对。更好的是，第三方在整个过程中从未访问过您的私钥。

现在回答您的问题，是的，这是可能的。不要求第三方参与。它更多的是如何使用您选择的加密库来实现这一点的问题。查看我的帖子here，了解如何在没有管理员权限的情况下在 Windows 上运行 OpenSSL。

创建新的密钥和证书

openssl req -newkey rsa:2048 -nodes -keyout [filepath to key] -x509 -out [filepath to cert]

从现有密钥创建证书

openssl req -key [filepath to key] -x509 -out [filepath to cert]

【讨论】：

【解决方案2】：

您应该能够使用 OpenSSL 独立于 IIS 创建 CSR（请参阅其 req 命令）。

【讨论】：