查看PayPal(https://www.paypal.com/)安全证书。
它说:连接加密:高级加密(TLS_RSA_WITH_AES_256_CBC_SHA,256位密钥)。
现在,我如何创建自签名证书以使用相同的加密AES256?
我在Openssl中尝试了以下代码:
OpenSSL的> req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
我最终获得了128位证书。然后我试了一下:
OpenSSL的> genrsa -aes256 -out key.key 4096
OpenSSL的> req -new -key key.key -out cert.csr
OpenSSL的> x509 -req -days 365 -in cert.csr -signkey key.key -out cert.crt
OpenSSL的> rsa -in key.key -out key.key
即使我指定'-aes256',我最终还是获得了128位证书:连接加密:高级加密(TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,128位键)。
/>
那么,我做错了什么,你能告诉我如何创建256证书吗?谢谢你的帮助!
答案 0 :(得分:7)
CodesInChaos 是对的。我应该编辑服务器的配置。我在Apache配置中添加了SSLCipherSuite行,它起作用了:
SSLCipherSuite AES256-SHA
答案 1 :(得分:0)
常见的误解是,SSL 证书并不能决定网站使用的密码强度,而 Web 服务器 SSL 配置可以。有两种类型的证书,使用 RSA 或 EC 签名。如果您想在 ECDH 中使用 SSL 密码,那么您需要一个 EC 签名证书,否则 RSA 证书将只能使用 RSA 密码。