我想知道如何制作一个体面的证书签名请求 (CSR) 以使用通配符 SSL 证书保护我的网站和电子邮件。随着最近在 SSLv3 上的 POODLE 等漏洞利用,我想知道如何发出一个像样的证书签名请求来制作一个有效(并且非常安全)的证书并订购一个。我很想有一个高位密钥(至少 2048 位,如果可能的话 4096 位)。我知道在哪里订购,但我想要更多关于创建请求的建议。
有人可以就如何制作一个以及为什么选择这些选项提供更多建议吗?
谢谢!
如何做出体面的证书签名请求(CSR)?
信息安全
tls
证书
2021-08-27 23:17:30
1个回答
创建证书签名请求时,您只需指定所需的加密级别。
例如,对于 2048 位:
openssl req -new -newkey rsa:2048 -nodes -out Test.csr -keyout Test.key
这里有一堆工具可以根据您的操作系统和要求告诉您使用什么命令:https ://www.digicert.com/csr-creation.htm
提交 CSR 时,请确保您获得了 SHA-2 证书,因为 SHA-1 很快就会过时。
为了防止 POODLE,正如 raz 所提到的,这与安装的证书无关。这取决于您如何允许您的服务器对加密通信进行身份验证。需要在您的服务器上禁用所有版本的 SSL 以强制通过 TLS 进行身份验证。