Openssl
生成安全 SSL 證書/csr 的最佳選擇是什麼?
作為序言,我進行了很多搜尋,但似乎找不到合適的搜尋詞。
我使用以下命令生成了 CSR:
openssl req -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/ssl.key -out /etc/ssl/ssl.csr
使用生成的 CSR,我通過 StartSSL 獲得了 2 類簽名證書。
問題是當我在我的網站上查看 Chrome 中的證書資訊時,它說網站安全性已過時。
也許我需要更改 Apache2 mod_ssl 設置?
或者,如果是證書問題,我需要使用哪些 OpenSSL 選項來生成最新的 CSR 請求?
提前致謝。
首先,將“-sha256”添加到您的 CSR 命令中,以確保您使用 SHA256 而不是安全性較低的 SHA1 或 MD5 雜湊摘要作為您的證書。
其次,檢查以確保伺服器本身配置為僅使用 TLS 或更高版本。將您的 SSL 配置行(在
/etc/httpd/conf.d/ssl.conf
、您的站點文件或您的發行版儲存它們的任何其他位置)更改為至少以下限制:SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite ALL:!ADH:!EXPORT:RC4+RSA:+HIGH:-MEDIUM:-LOW
有關更多資訊,請參閱附錄 A 中的CA/瀏覽器論壇上指定最低可接受算法和關鍵強度的文件。隨著新標準的採用,該連結可能會過時,因此請留意他們的基線要求文件頁面更新。