Потерянный личный ключ

Потеря закрытого ключа - самая распространенная проблема, с которой сталкиваются веб-мастера при установке SSL-сертификата. Эта статья поможет вам решить эту проблему и поможет понять возможные сценарии восстановления ключа или регенерации и повторного выпуска SSL.

• 1

  Немного теории

  Вы получаете закрытый ключ, когда генерируете запрос на подписание сертификата (CSR). Вы отправляете код CSR в CA (центр сертификации) и храните закрытый ключ в безопасном месте. Это означает, что ни мы (GoGetSSL), ни центры сертификации никогда не имели вашего закрытого ключа. Мы не можем его восстановить, но мы можем перевыпустить SSL с новым ключом. Есть несколько способов, с помощью которых вы можете сгенерировать CSR/KEY:

  Использование онлайн-генератора CSR;

  Использование OpenSSL на вашем сервере;

  Использование платформ управления хостингом, таких как cPanel, Plesk, Synology NAS DSM, WHM и других.

• 2

  Как выглядит закрытый ключ

  Ключ RSA выглядит как массив закодированных данных, начинающийся и заканчивающийся заголовками, такими как -----BEGIN PRIVATE KEY----- и -----END PRIVATE KEY-----.

  
• 3

  ОС Windows (IIS, Exchange)

  На серверах Windows нет возможности просмотра закрытого ключа в виде обычного текста. Соответствующий закрытый ключ подключается автоматически при импорте сертификата через IIS или MMC, однако CSR и KEY должны быть сгенерированы на одном и том же сервере.

  Вы можете экспортировать ключ с помощью защищенного паролем файла PFX (PKCS#12), если необходимо достать закрытый ключ для установки SSL на другом сервере. Откройте сертификаты MMC, выполнив следующие действия:

  

  Затем перейдите в раздел "Личные > Сертификаты", щелкните сертификат правой кнопкой мыши, затем "Все задачи" > "Экспорт". Вы сможете экспортировать сертификат, следуя инструкциям мастера экспорта. Ознакомьтесь с дополнительными инструкциями на странице Windows Docs.

  

  После завершения процесса экспорта вы получите файл .pfx, содержащий ваш SSL-сертификат, закрытый ключ и связку CA. Вы можете использовать онлайн-инструмент для преобразования файла "PKCS12" в "PEM". После преобразования вам будет доступен ваш закрытый ключ.

• 4

  Mac OS X

  В Mac OS X нет возможности получить закрытый ключ через графический интерфейс инструмента Keychain. Для этого необходимо использовать Терминал. Откройте каталог /etc/certificates/ и найдите файл вида "*.key.pem". Используйте следующие команды терминала:

  
• 5

  Tomcat

  Закрытый ключ должен храниться в защищенном паролем файле Keystore, если ваш SSL-коннектор Tomcat настроен в стиле JSSE. Чтобы получить закрытый ключ, необходимо преобразовать Keystore в файл PFX с помощью следующей команды:

  

  Замените "Keystore.jks" на реальное имя хранилища ключей;

  "Keystore.p12" - это имя нового файла PKCS12, который вы получите;

  <jkskeyalias>, <jkspassword> и <keypassword> - это псевдоним, ключ и пароль Keystore, которые были введены при создании Keystore;

  <jkskeyalias>, <jkspassword> и <keypassword> должны быть заменены на псевдоним файла JKS, его пароль и пароль закрытого ключа соответственно;

  <newp12password> и <newkeypassword> должны быть заменены паролями, которые вы хотите установить для вашего нового PKCS12-файла и закрытого ключа;

  Вы можете преобразовать новый файл PKCS12 в файл PEM, чтобы получить отдельные файлы сертификата, CA-bindle и ключа, используя приведенную ниже команду терминала или онлайн-инструмент. Вы можете переименовать файл "Private.key" в любое имя по своему усмотрению.

  
• 6

  VestaCP

  Вы должны сохранить закрытый ключ во время генерации CSR с помощью VestaCP. В дальнейшем ключ не будет доступен ни в одной области веб-клиента. Однако есть возможность восстановить закрытый ключ с помощью SSH, проверив временный файл в папке "/tmp". Путь может выглядеть, например, так:

  

  Обратите внимание, что при каждой перезагрузке сервера папка будет удаляться. Вы можете попробовать использовать старую команду Linux, чтобы узнать точный путь к файлу:

  

  Замените "domain.tld" на фактическое имя домена. Альтернативный вариант - попробовать команду "grep"

  
• 7

  DirectAdmin

  Закрытый ключ сохраняется на сервере в последней версии DirectAdmin. Он будет получен в процессе установки в поле "Вставить предварительно сгенерированный сертификат и ключ"." Раздел будет пуст, если вы сгенерировали CSR и ключ в другом месте или панель имеет внутреннюю проблему. Вы можете попробовать использовать SSH, чтобы найти ключ, так как обычно он сохраняется в следующей директории:

  

  где <user> и <domain> - это ваше имя пользователя DirectAdmin и домен, для которого вы пытаетесь восстановить ключ.

• 8

  Webuzo

  Восстановление закрытого ключа на панели управления Webuzo - простая задача, если пара CSR и закрытый ключ были сгенерированы с помощью этой панели.

  Перейдите на главную страницу управления SSL;

  Нажмите кнопку "перо" в правом верхнем углу;

  На экране появится код ключа.

  
• ✔

  Заключение

  Потеря закрытого ключа не является фатальной в случае, если вы использовали панели управления. Однако мы настоятельно рекомендуем хранить закрытый ключ в очень надежном месте. Перевыпустите SSL, если вы подозреваете, что ключ может попасть в руки третьих лиц.