Converter cert .cer para .pem via OpenSSL mais usando SHA-256

4

Isso pode ser porque eu fiz errado. Eu usei recentemente o OpenSSL para converter um .cer para .pem usando isso -

openssl x509 -inform der -in certificate.cer -out certificate.pem

(e depois carregou o .pem no loadbalancer)

No entanto, o navegador do cliente (chrome) relata que é SHA-1 e, embora funcione (em termos de conectividade), não parece bom. Além disso, o SHA-1 é antigo / está sendo desativado.

É por causa do comando openssl que usei? Devo ter usado o comando -sh256 no meu comando openssl (a partir de um rápido googling)

Como você pode ver, pouco novo nos certificados!

    
por mrchinchin25 17.12.2015 / 12:11

1 resposta

3

O "SHA-1" ou "SHA-256" mencionado no Chrome é o hash usado pela CA (Certification Authority) para criar a assinatura no certificado. O comando que você executou não altera o certificado, ele apenas altera o formato de arquivo usado ( .cer é apenas os dados de certificado codificados ASN.1 brutos; .pem é um formato codificado em base64 do mesmo ASN.1 dados). O esquema de hash usado para a assinatura não está relacionado aos formatos de arquivo.

Se você quiser um certificado SHA-256, precisará ter um emitido por uma autoridade de certificação. Hoje em dia, é praticamente garantido que você obterá um certificado SHA-256, porque o SHA-1 é muito, muito obsoleto (daí o motivo pelo qual o Chrome está avisando sobre isso).

    
por 17.12.2015 / 12:23