为了序言,我search了很多,但似乎无法find正确的search条件。
我使用以下命令生成了一个CSR:
openssl req -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/ssl.key -out /etc/ssl/ssl.csr 通过生成的CSR,我通过StartSSL获得了2级签名证书。
问题是当我在我的网站上查看Chrome中的证书信息时,它说网站安全性已经过时。
也许有一个Apache2的mod_ssl设置我需要改变?
或者如果这是一个证书问题,我需要使用哪些OpenSSL选项来生成最新的CSR请求?
提前致谢。
首先,将“-sha256”添加到您的CSR命令中,以确保您正在使用SHA256,而不是使用安全性较低的SHA1或MD5哈希摘要作为证书。
其次,检查以确保服务器本身被configuration为仅使用TLS或更高版本。 更改您的SSLconfiguration行(在/etc/httpd/conf.d/ssl.conf ,您的站点文件或您的发行版存储他们的任何地方)至less是这个限制:
SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite ALL:!ADH:!EXPORT:RC4+RSA:+HIGH:-MEDIUM:-LOW
有关详细信息,请参阅附录A中有关CA /浏览器论坛中最低可接受algorithm和关键优势的文档。由于采用新标准,此链接可能会过时,因此请关注其基准需求文档页面更新。