生成安全自签名证书的正确方法

Question

我立即发现有两件事是错误的。

您拥有 *.example.com 的证书，但您以以下身份访问该网站https://example.com。父域不接受通配符证书。通过以下方式访问https://www.example.com或制作一份新证书。
您在证书中使用了 SHA1 哈希。这被认为是错误的。OpenSSL-sha256中的开关应该可以解决这个问题。以下是一组开关示例：openssl req -new -newkey -sha256 rsa:2048

您可能还想检查 Apache 中的 SSL 设置，特别是允许使用哪些算法。至少关闭 SSLv2/SSLv3。如果只有您，我会关闭低于 TLSv1.2 的所有内容，并且只选择高级密码。

下面是从经常引用的页面中摘取的一个例子（\为了打破连续的字符串）：

SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128: \
   DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

编辑：无论哪种方式，Chrome 和 Firefox 都不会对自签名证书做出良好的反应，除非您将它们（和/或您的操作系统）配置为专门信任签署它们的根 CA。

Answer 1

我立即发现有两件事是错误的。

您拥有 *.example.com 的证书，但您以以下身份访问该网站https://example.com。父域不接受通配符证书。通过以下方式访问https://www.example.com或制作一份新证书。
您在证书中使用了 SHA1 哈希。这被认为是错误的。OpenSSL-sha256中的开关应该可以解决这个问题。以下是一组开关示例：openssl req -new -newkey -sha256 rsa:2048

您可能还想检查 Apache 中的 SSL 设置，特别是允许使用哪些算法。至少关闭 SSLv2/SSLv3。如果只有您，我会关闭低于 TLSv1.2 的所有内容，并且只选择高级密码。

下面是从经常引用的页面中摘取的一个例子（\为了打破连续的字符串）：

SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128: \
   DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

编辑：无论哪种方式，Chrome 和 Firefox 都不会对自签名证书做出良好的反应，除非您将它们（和/或您的操作系统）配置为专门信任签署它们的根 CA。

生成安全自签名证书的正确方法

答案1

相关内容