如何创建比 SHA-1 更强的自签名证书？

Question 1

当然。makecert作为 Windows SDK 一部分的实用程序可以做到这一点：

makecert -len 2048 -r -a sha256 -sv private.pvk -n CN=localhost cert.cer

该-a参数设置哈希算法。这会生成一个 PVK 和一个 DER .cer 文件。当然，您也可以将通用名称更改为任何您想要的名称，我只是以 localhost 为例。您可以使用pvk2pfx（也是 SDK 的一部分）将它们组合成 PFX（IIS 在导入证书时更喜欢使用的内容）：

pvk2pfx -spc cert.cer -pvk private.pvk -pfx out.pfx

这只是将生成的两个文件makecert合并为一个 PKCS12 .pfx 文件。

使用生成的 PFX 文件，您可以打开 IIS 并将其导入服务器证书下，然后更改站点的绑定以使用新证书。

Answer

当然。makecert作为 Windows SDK 一部分的实用程序可以做到这一点：

makecert -len 2048 -r -a sha256 -sv private.pvk -n CN=localhost cert.cer

该-a参数设置哈希算法。这会生成一个 PVK 和一个 DER .cer 文件。当然，您也可以将通用名称更改为任何您想要的名称，我只是以 localhost 为例。您可以使用pvk2pfx（也是 SDK 的一部分）将它们组合成 PFX（IIS 在导入证书时更喜欢使用的内容）：

pvk2pfx -spc cert.cer -pvk private.pvk -pfx out.pfx

这只是将生成的两个文件makecert合并为一个 PKCS12 .pfx 文件。

使用生成的 PFX 文件，您可以打开 IIS 并将其导入服务器证书下，然后更改站点的绑定以使用新证书。

Question 2

我在工作时使用的是一台锁定的 Windows 7 Enterprise 计算机，因此无法安装 Windows SDK 来访问makecert。以下是我创建 sha256 自签名证书的方法（取自https://core.telegram.org/bots/self-signed)：

在该目录中创建一个名为的文本文件，template.txt其内容如下：

[NewRequest]

; At least one value must be set in this section
Subject = "CN={your.domain.com}"
KeyLength = 2048
KeyAlgorithm = RSA
HashAlgorithm = sha256
;MachineKeySet = true
RequestType = Cert
UseExistingKeySet=false ;generates a new private key (for export)
Exportable = true ;makes the private key exportable with the PFX

替换{your.domain.com}为您用来访问网站的地址，例如"CN=localhost"
打开命令提示符并切换到您的证书目录
跑步certreq -new template.txt RequestFileOut
您需要知道序列号，因此运行certutil -store -user my以获取包含序列号的转储
{SERIALNUMBER}用转储中的序列号和{YOURDER}.crt输出文件的名称替换：certutil -user -store -split my {SERIALNUMBER} {YOURDER}.crt
{YOURDER}.crt用输入文件的名称和{YOURPEM}.cer输出文件的名称替换：certutil -encode {YOURDER}.crt {YOURPEM}.cer
{your.domain.com}用您的实际（测试）域名和{YOURPKCS}.pfx输出文件的名称替换：certutil -exportpfx -user {your.domain.com} {YOURPKCS}.pfx NoChain

之后，我进入 IIS 管理器，站点 -> {站点名称} -> 绑定...（在“编辑站点”下）。然后我单击 https/443（因为我已经设置好了），编辑...并从列表中选择了新证书。

Firefox 抱怨我的网站正在使用自签名证书，所以我只是将其添加为例外，然后！它就成功了！

Answer