TLS SHA256 sertifika isteği nasıl oluşturulur

İş ortaklarımızdan biri, API'larına bağlanmak için bir TLS SHA256 sertifikası kullanmamızı istiyor. Bu istekleri nasıl oluşturacağımdan emin değilim. Geçmişte bu istekleri oluşturmak için openssl kullandım ancak SHa1 kullanarak bir SSL sertifikası oluşturdu. Bu isteği oluşturmak için openssl kullanabilir miyim? Değilse, istediklerini nasıl üretebilirim?

Bu alanda uzman değilim, bu yüzden sorduğum şeyin mantıklı olup olmadığını bile bilmiyorum.

CSR hash ve cert hash ilgili değil

İstekteki ve gerçek sertifikadaki karma türü birbiriyle ilişkili değil.

CA, CSR'deki imzayı kontrol eder. Bu şekilde CA, CSR'nin geçişte değiştirilmediğini doğrulayabilir. KSS'deki tüm imza budur.

Bir CA'ya ne istediğinizi söylemenin resmi (hatta yarı resmi) bir bant içi yolu yoktur. Bunun yerine bir CA şirketi, biri yalnızca SHA256 kullanan birden fazla CA çalıştırabilir. SHA256'yı istiyorsanız, CSR'nizi yalnızca belirli bir SHA256-CA'nın web sitesine gönderirsiniz. (SHA1-CA'nın web sitesinde değil.)

Genellikle teorileştirilen şey şudur: "SHA1 ile imzalanmış bir CSR gönderirsem, sertifikam SHA1 ile imzalanır." Bu genellikle yapılmaz. ( Bunu bir süredir bildiğim tek CA Gandi.net'ti .)

Nasıl SHA256 ile CSR imzalamak
, varlık dedi ki kullanmak -sha256şöyle SHA256 ile CSR imzalamak için parametre:

openssl req -new -newkey rsa: 2048-düğümler -sha256 -out www.example.com.sha256.csr -keyout www.example.com.key -subj "/ C = ABD / ST = ÖrnekStat / L = ÖrnekKonum / O = ExampleOrganisation / CN www.example.com"

Bir CSR'nin karma türünü nasıl kontrol
edersiniz ve CSR'nizin karma türünü nasıl öğrenirsiniz:

$ openssl req -in www.example.com.sha256.csr -noout -text | grep Signature  
    Signature Algorithm: sha256WithRSAEncryption

İyi. SHA256'yı istediğimiz gibi kullanıyor.

OpenSSL kullanıyorsanız, CSA'yı -sha256SHA-256 imza algoritmasıyla oluşturacak komut satırı seçeneğini eklemeniz yeterlidir .