Puncte:0

Se generează certificat folosind algoritmul ECDSA_P256 dar cu semnătura sha256RSA

drapel cn

Dacă aruncați o privire la un certificat care criptează google.com, acesta face publicitate unei chei ECC pe 256 de biți cu ECDSA_P256 parametru. Algoritmul de semnătură este sha256RSA. Am încercat să obțin ceva similar rulând setul de comenzi de mai jos, dar de când -digera parametrul pe care îl folosesc este -sha256 rezultatul este întotdeauna algoritmul de semnătură sha256ECDSA. Deci întrebarea este - cum a făcut Google asta și este posibil cu OpenSSL (1.1.1k)?

Este un rezultat al faptului că certificatul lor este semnat de un certificat CA care este RSA și nu ECDSA (în timp ce al meu este un certificat rădăcină ECDSA autosemnat)?

openssl genpkey -genparam -out ./hmca-ec.param -algorithm EC -pkeyopt ec_paramgen_curve:prime256v1

openssl genpkey -paramfile ./hmca-ec.param -out ./hmca-ec.key -pass pass:"pass" -aes-256-ecb

openssl req -x509 -new -key ./hmca-ec.key -sha256 -days 365 \
 -config ./hmca.conf -reqexts SAN -extensions SAN -out ./hmca-ec.crt

conf (dacă contează) arată astfel:

[req]
nume_distins = direct
x509_extensions = SAN
req_extensions = SAN
prompt = nu

[SAN]
subjectKeyIdentifier=hash
subiectAltName = dirName:direct
extendedKeyUsage = serverAuth, clientAuth
basicConstraints = CA:TRUE
keyUsage = critic, digitalSignature, keyAgreement, keyCertSign

[direct]
C = SUA
O = a
CN = b
Maarten Bodewes avatar
drapel in
Uh, mai întâi creați un certificat rădăcină RSA autosemnat și apoi utilizați-l pentru a semna o cerere de certificat creată folosind o pereche de chei EC(DSA)? Care este întrebarea ta?
dave_thompson_085 avatar
drapel cn
De fapt, în funcție de ciphersuites sau sigalgs oferite, google.com folosește fie un certificat cu EC(DSA) P256 _sau_ unul cu RSA-2048; ambele sunt emise folosind semnătura sha256-RSA de către „GTS CA 1C3” cu cheia RSA-2048. `GTS CA 1C3` este în sine un intermediar, nu o rădăcină; certificatul său este emis de `GTS Root R1`, care este RSA-4096 și acum în majoritatea (?) truststore-urilor, dar și legat de `GlobalSign Root CA` care este mai vechi (1998) și RSA-2048. Consultați ssllabs.com/ssltest. @MaartenBodewes: astfel încât să puteți utiliza _any_ RSA CA (nu doar o rădăcină autosemnată) pentru a procesa CSR pentru EC P256.
Maarten Bodewes avatar
drapel in
Sigur, tocmai am indicat cel mai scurt traseu :P

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.