我需要一个Web服务器的SSL证书。我可以使用以下OpenSSL命令生成自签名SSL证书:
openssl req -newkey rsa:512 -x509 -days 365 -nodes -out cert.pem -keyout cert.pem
openssl dhparam -inform pem -in cert.pem -outform pem -out dhparam.pem 512
cat dhparam.pem >> cert.pem
如果我想拥有CA签名证书,我可以生成CSR(证书签名请求):
openssl req -newkey rsa:512 -nodes -out cert.csr -keyout cert.key
并将其发送给一个CA.然后 ?我想知道CA正在发送什么:只有证书,或证书和 DH参数,因为它们用于浏览器和服务器之间的协商?
答案 0 :(得分:2)
证书颁发机构通常只接受CSR中的公钥,并将其放入具有自己的DH参数的证书中。
答案 1 :(得分:0)
实际上,openssl req足以生成自签名证书。使用SSL证书不需要DH参数 - 或者可以在CA生成的证书中找到它们。
因此,CA只会发回一个必须与私钥一起使用的证书文件(例如.crt文件)。
答案 2 :(得分:0)
CA通常会发回使用CA私钥
签名的.PEM文件