我的网站https由于SHA-1证书指纹薄弱而使PCI扫描失败。请直接在证书上看到描述SHA-1指纹的附件图像。
该证书是通过GoDaddy购买的...我试图使用SHA-256重新生成新的私钥和CSR,如下所示:
openssl req -newkey rsa:2048 -fingerprint -sha256 -nodes -key mydomain.com.key -out mydomain.com.new.csr
但结果相同。有谁知道在创建CSR的过程中我如何让指纹成为SHA-2?
答案 0 :(得分:1)
指纹不是证书中的属性,而是对证书内容的SHA-1计算。您不能因为SHA-1指纹而使PCI失败。所有证书都有它们……以及MD5指纹等,因为这只是事后的计算。
更有可能是您的证书是使用RSA-SHA-1签名的。来自公共CA的任何新证书都应使用更强大的签名算法,因此应该只是“获取新证书”。