Wie kann ich einen sha256-Fingerabdruck in openssl

Ich will sha256-Fingerabdruck Verwenden openssl.
Ich habe versucht, aber Sie haben sha1. Was soll ich tun?

Ich bin mit OpenSSL 1.0.1 f.

Befehle

openssl md5 * >rand.dat

openssl genrsa -rand rand.dat -aes256 2048 > server.key

openssl req -new -key server.key -sha256 -config openssl.cfg > server.csr

openssl x509 -fingerprint -sha256 -in server.csr -req -signkey server.key -extensions v3_req -extfile openssl.cfg -out server.cer

Vom Standardwert geändert wird, ist die folgende:

[ CA_default ]
default_md  = sha256    # Change

[ req ]
req_extensions = v3_req     # Uncomment
[link]openssl.org/docs/apps/x509.html# -md2|-md5|-sha1|-mdc2 der Verdauung zu verwenden. Dies wirkt sich auf die Unterzeichnung oder die Anzeige-option, die verwendet einen message digest, wie die Fingerabdruck-signkey-und -CA-Optionen. Wenn nicht angegeben, wird SHA1 verwendet. Wenn der Schlüssel verwendet wird, um zu unterzeichnen, ist mit einem DSA-Schlüssel, dann hat diese option keine Wirkung: SHA1 ist früher immer mit DSA-Schlüssel. Jedoch, es scheint nicht zu Auswirkungen auf den Fingerabdruck.

InformationsquelleAutor user3353855 | 2014-02-26

  1. 5

    Wie kann ich einen sha256-Fingerabdruck in openssl

    -sha256 korrekt ist.

    Gibt es ein Beispiel von der Unterzeichnung eines Servers CSR mit Ihrem eigenen CA mit OpenSSL auf Wie meldet man OpenSSL Certificate Signing Requests, die mit Ihrer Zertifizierungsstelle?.

    Basierend auf dem feedback, es scheint SHA1-Hash ist hart codiert, wenn mit -fingerprint. Unten aus <openssl dir>/apps/x509.c (alle OpenSSL-apps, wie ca, x509, encrypt, decrypt usw befinden sich in apps/). Aus der ganzen Linie 935 von x509.c:

    else if (fingerprint == i)
    {
    int j;
    unsigned int n;
    unsigned char md[EVP_MAX_MD_SIZE];
    const EVP_MD *fdig = digest;

    if (!fdig)
        fdig = EVP_sha1();

    if (!X509_digest(x,fdig,md,&n))
        {
        BIO_printf(bio_err,"out of memory\n");
        goto end;
        }
    BIO_printf(STDout,"%s Fingerprint=", OBJ_nid2sn(EVP_MD_type(fdig)));
    ....

    Soweit const EVP_MD *fdig = digest, digest eingestellt werden kann. Aber ich kann nicht sagen, was für Schalter eingesetzt werden soll. Aus der ganzen Zeile 475:

    else if ((md_alg=EVP_get_digestbyname(*argv + 1)))
    {
    /* ok */
    digest=md_alg;
    }

    Sieht, brach auf mich.

    -fingerprint habe ich versucht zu entfernen, die aber unverändert ist.
    Erstellen Sie ein von einer ZERTIFIZIERUNGSSTELLE signiertes Zertifikat mit Verweis auf den link,aber Fingerabdruck und Sie haben SHA1.
    Es sieht aus wie ein bug an mich (siehe weitere Informationen).
    danke für Eure Hilfe.
    Ich dachte.... versuchen Sie, die -sha256 als der letzten - option zu. Wenn Ihr die Letzte option, EVP_get_digestbyname gibt eine gute EVP_MD Objekt, das nicht über-geschrieben, später mit einem falschen Namen (einen falschen Namen zurück NULL).

    InformationsquelleAutor jww

Schreibe einen Kommentar