Создать самозаверяющий сертификат с конкретными комплектами шифров, используя OpenSSL?

Question

Я пытаюсь сгенерировать самозаверяющий сертификат сервера с поддерживаемыми конкретными наборами шифров:

• TLS_RSA_WITH_RC4_128_SHA
• TLS_RSA_WITH_AES_256_CBC_SHA

Как мне поступитьсоздать конкретный сертификат? Я видел, что большинство руководств следуют этой команде:

openssl req -new -newkey rsa:4096 -x509 -sha256 -days 365 -nodes -out MyCertificate.crt -keyout MyKey.key

Должен ли я изменять параметр -sha256?

Answer 1

Если вы говорите о сертификатах сервера, то для поддержки этих двух наборов шифров вашему серверу потребуется сертификат RSA. Команда, которую вы перечислили, сделает это и даст вам то, что вам нужно.

Должен ли я изменять параметр -sha256?

Нет, в этом нет необходимостисделай это. Это указывает дайджест, который будет использоваться при подписании сертификата. Это не относится к дайджесту, указанному в шифровальном наборе (SHA1).

Answer 2

Сертификат X.509 не имеет ничего общего с поддержкой набора шифров. Они не имеют никаких отношений друг с другом. Сертификат используется для проверки подлинности объектов (клиента и сервера). Выбор симметричного алгоритма является независимым от сертификата процессом и обрабатывается библиотекой TLS-сервера / клиента отдельно.