Windows Server 2008 R2上でIIS 7.5を介してCSRを生成すると、常に新しい秘密キーが作成されますか？

Windows 2008 R2サーバーのCSRを生成し、CSRに使用される秘密キーが新しいことを確認する必要があります。

以前にOpenSSLを使用してテスト用の自己署名証明書を作成しましたが、正しく覚えていれば、使用する秘密キーを指定できました。

IISサーバー証明書では、秘密キーを生成または選択することはありません。

それでは、WindowsベースのサーバーでCSRを生成すると、常に新しい秘密鍵が作成されますか？そうでない場合、新しい秘密鍵が作成/使用されることをどのように確認しますか？

はい

「証明書要求の作成」ウィザードは、新しいキーペアを自動的に生成します。

IISサーバー証明書では、秘密キーを生成または選択することはありません。

これは実際には真実ではありません-ウィザードはそれについてあまり明白ではありません。

ID情報（共通名、地域、組織など）を入力して[次へ]を押すと、2番目の画面で2つのことを求められます。

1. 暗号化サービスプロバイダー（CSP）
2. ビット長

デフォルトのCSP（Microsoft RSA SChannel CSP）とビット長2048の選択は、Windowsと同等です：

openssl req -new -newkey rsa:2048

署名リクエストの構造

CSR自体は、3つの「パーツ」を持つと考えることができます。

1. クリアテキストのID情報（CN、地域、組織など）
   • これは単なる文字列であり、署名者（CA）は自由に変更できます
2. 公開鍵
   • サーバーに対応する秘密鍵が必要です。
3. オプションの拡張フィールド
   • まだクリアなテキスト情報

発行者は署名要求の情報を確認し、（1）と（3）の両方の内容を変更する場合があります。
次に、発行者はそのCA 秘密キーを使用して、要求者の公開キーを暗号化します（2）。

最終証明書が発行されると、次のものが含まれます。

1. クリアテキストのID情報（CN、地域、組織など）
   • 発行者情報が追加されました
2. 公開鍵
   • 上記と同じ
3. オプションの拡張フィールド
   • 多分、Issuer拡張フィールドがあります
4. 署名ブロブ
   • これは、CAの秘密キーで署名された公開キーです

これで、次回クライアントが証明書を提示したときに、発行者CAの公開キーを使用して署名blobを解読し（4）、証明書内の公開キーと比較できます