这可能是我做错了。我最近使用 OpenSSL 将 .cer 转换为 .pem,使用了这个 -
openssl x509 -inform der -in certificate.cer -out certificate.pem
(然后将 .pem 加载到负载均衡器上)
然而,客户端浏览器 (chrome) 报告它是 SHA-1,虽然它可以工作,但 (连接性方面) 看起来不太好。此外,SHA-1 已经过时/正在逐步淘汰。
这是因为我使用的 openssl 命令吗?我是否应该在 openssl 命令中使用 -sha256(来自快速谷歌搜索)
正如您所知,证书有点新!
答案1
Chrome 中提到的“SHA-1”或“SHA-256”是 CA(证书颁发机构)用于在证书上创建签名的哈希值。您运行的命令根本不会更改证书,它只会更改所使用的文件格式(.cer只是原始的 ASN.1 编码证书数据;.pem是相同 ASN.1 数据的 base64 编码形式)。用于签名的哈希方案与文件格式无关。
如果您想要 SHA-256 证书,则需要由 CA 颁发证书。如今,您几乎可以保证获得 SHA-256 证书,因为 SHA-1 非常安全。非常已弃用(因此 Chrome 会就此发出警告)。