O método oficialmente recomendado para gerar um CSR de certificado SSL do servidor web (de acordo com a documentação do RHEL6 e do CentOS 6) é usar o utilitário genkey. Quando usado de acordo com os documentos, isso produz um CSR com uma assinatura SHA1. Nossa CA solicitou um CSR com uma assinatura SHA256 (porque queremos um certificado SSL SHA256 de acordo com os novos requisitos de navegador chrome / ie). Eu não consegui encontrar nenhum documento sobre como fazer isso usando o genkey. Eu tentei o sinalizador de linha de comando --sha256, mas ele não é reconhecido pelo genkey. Alguém pode descrever como fazer isso?
O comando interativo genkey não lhe dará a opção de alterar os padrões, mas você poderá atualizar seu /etc/pki/tls/openssl.cnf se realmente quiser usar esse comando.
Alterar:
default_md = sha1
Para:
default_md = sha256
Ou você pode usar o comando openssl direct. Se o algoritmo de hash estiver definido como SHA1 por padrão, você poderá usar o parâmetro -sha256 para forçar o SHA2.
openssl req -new -sha256 -key private.key > new_sha256.csr
A assinatura a que você está se referindo é encontrada no certificado SSL, não no CSR. É por isso que você não consegue encontrar a opção. :)
O que você precisa fazer é garantir que o Emissor de Certificados esteja gerando seus certificados baseados no CSR com as opções corretas. O método exato para fazer isso muda de CA para CA. Por exemplo, o GoDaddy geralmente tem uma caixa suspensa na tela de solicitação de certificado, logo abaixo de onde você colou o seu CSR, e você pode selecionar SHA-1 ou SHA-2 (que irá gerar o certificado SHA256).