Wie kann ich einen sha256-Fingerabdruck in openssl
Ich will sha256-Fingerabdruck Verwenden openssl.
Ich habe versucht, aber Sie haben sha1. Was soll ich tun?
Ich bin mit OpenSSL 1.0.1 f.
Befehle
openssl md5 * >rand.dat
openssl genrsa -rand rand.dat -aes256 2048 > server.key
openssl req -new -key server.key -sha256 -config openssl.cfg > server.csr
openssl x509 -fingerprint -sha256 -in server.csr -req -signkey server.key -extensions v3_req -extfile openssl.cfg -out server.cer
Vom Standardwert geändert wird, ist die folgende:
[ CA_default ]
default_md = sha256 # Change
[ req ]
req_extensions = v3_req # Uncomment
[link]openssl.org/docs/apps/x509.html# -md2|-md5|-sha1|-mdc2 der Verdauung zu verwenden. Dies wirkt sich auf die Unterzeichnung oder die Anzeige-option, die verwendet einen message digest, wie die Fingerabdruck-signkey-und -CA-Optionen. Wenn nicht angegeben, wird SHA1 verwendet. Wenn der Schlüssel verwendet wird, um zu unterzeichnen, ist mit einem DSA-Schlüssel, dann hat diese option keine Wirkung: SHA1 ist früher immer mit DSA-Schlüssel. Jedoch, es scheint nicht zu Auswirkungen auf den Fingerabdruck.
InformationsquelleAutor user3353855 | 2014-02-26
Du musst angemeldet sein, um einen Kommentar abzugeben.
-sha256
korrekt ist.Gibt es ein Beispiel von der Unterzeichnung eines Servers CSR mit Ihrem eigenen CA mit OpenSSL auf Wie meldet man OpenSSL Certificate Signing Requests, die mit Ihrer Zertifizierungsstelle?.
Basierend auf dem feedback, es scheint SHA1-Hash ist hart codiert, wenn mit
-fingerprint
. Unten aus<openssl dir>/apps/x509.c
(alle OpenSSL-apps, wieca
,x509
,encrypt
,decrypt
usw befinden sich inapps/
). Aus der ganzen Linie 935 vonx509.c
:Soweit
const EVP_MD *fdig = digest
,digest
eingestellt werden kann. Aber ich kann nicht sagen, was für Schalter eingesetzt werden soll. Aus der ganzen Zeile 475:Sieht, brach auf mich.
Erstellen Sie ein von einer ZERTIFIZIERUNGSSTELLE signiertes Zertifikat mit Verweis auf den link,aber Fingerabdruck und Sie haben SHA1.
Es sieht aus wie ein bug an mich (siehe weitere Informationen).
danke für Eure Hilfe.
Ich dachte.... versuchen Sie, die
-sha256
als der letzten - option zu. Wenn Ihr die Letzte option,EVP_get_digestbyname
gibt eine guteEVP_MD
Objekt, das nicht über-geschrieben, später mit einem falschen Namen (einen falschen Namen zurückNULL
).InformationsquelleAutor jww