我使用 创建了我的私钥和证书请求openssl req -new -newkey rsa:65536 > server.cert.csr。这花了几分钟并生成了 2 个文件。
然后我使用以下方法解密了我的私钥openssl rsa -in privkey.pem -out server.cert.key
现在我想使用自我签名我的证书openssl x509 -in server.cert.csr -out server.cert.crt -req -signkey server.cert.key -days 365但这会导致错误:
Signature did not match the certificate request
我尝试使用较小的密钥(仅 4096 位)执行相同的过程,然后成功了。有没有办法获得 65536 位长的自签名密钥?
这里到底是什么问题,或者这只是一个错误?我确定我没有混淆私钥或证书请求。
答案1
听起来像是 openssl 中的一个错误,但仍然 - 65kb 私钥不会让你获得超级安全的 vpn,只能获得超级慢的 vpn(使用更长的密钥进行更长的加密/解密) - 8kb 的值在未来几十年应该是相当安全的。我建议使用 4k 密钥。
按计划轮换私钥/证书实际上比拥有一个巨大的加密密钥要安全得多。
看看这个帖子,看看加密专家们想出了什么 https://crypto.stackexchange.com/questions/1182/are-there-practical-upper-limits-of-rsa-key-lengths