正式推荐的生成Web服务器SSL证书CSR(根据RHEL6和CentOS 6文档)的方法是使用genkey实用程序。 根据文档使用时,这会产生一个带有SHA1签名的CSR。 我们的CA已经申请了一个带有SHA256签名的CSR(因为我们需要根据新的Chrome /浏览器要求提供SHA256 SSL证书)。 我一直没有find任何关于如何使用genkey做到这一点的文档。 我尝试了–sha256命令行标志,但它不被genkey识别。 任何人都可以描述如何做到这一点?
交互式的genkey命令不会给你改变默认的选项,但是你应该能够更新你的/etc/pki/tls/openssl.cnf,如果你真的想使用这个命令的话。
更改:
default_md = sha1
至:
default_md = sha256
或者你可以直接使用openssl命令。 如果哈希algorithm默认设置为SHA1,则可以使用开关-sha256强制SHA2。
openssl req -new -sha256 -key private.key> new_sha256.csr
您所指的签名可在SSL证书中find,而不是在CSR中find。 这就是为什么你找不到选项。 🙂
您需要做的是确保您的证书颁发者正在根据您的CSR生成您的证书,并提供正确的选项。 确切的做法是从CA改变到CA. 例如,GoDaddy通常在证书请求屏幕上的下拉框中粘贴您的CSR,您可以selectSHA-1或SHA-2(将生成SHA256证书)。