Hallo
Ich habe ein Problem beim Erstellen eines SSL Zertifikats mit sha256.
Wenn ich beim Command direkt -sha256 einfüge, kreiert openssl trotzdem ein sha1 Zertifikat. Ich habe ebenfalls versucht in der /etc/ssl/openssl.cnf bei default_md sha256 einzutragen. Bringt auch nichts, Windows zeigt mir in den Zertifikat Details immer sha1 an.
Hat einer ne Idee woran das liegen könnte? Ich habe über Google leider nicht wirklich etwas hilfreiches zum Thema gefunden.
openssl sha256 cert
Re: openssl sha256 cert
Code: Alles auswählen
$ openssl version
OpenSSL 1.0.1j 15 Oct 2014
$ openssl req -x509 -sha1 -days 365 -newkey rsa:2048 -out sha1.crt
$ openssl x509 -text -noout -in sha1.crt | grep Signature
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
$ openssl req -x509 -sha256 -days 365 -newkey rsa:2048 -out sha256.crt
$ openssl x509 -text -noout -in sha256.crt | grep Signature
Signature Algorithm: sha256WithRSAEncryption
Signature Algorithm: sha256WithRSAEncryption
Re: openssl sha256 cert
Vielen Dank dufty2 !!!
Scheinbar war der Aufbau meines Commands falsch, ich habe auch zuerst ein .csr kreiert. Wobei ich nicht ganz verstehe, wieso ohne entsprechende Angabe nicht der in der config hinterlegte default Wert genommen wird.
Nun zeigt mir das Zertifikat jedenfalls auch unter Windows die gewünschten sha256 an. Nochmal vielen Dank
Allerdings wundert mich die angezeigte Version "OpenSSL 1.0.1e 11 Feb 2013". Ich mache natürlich regelmäßig Updates bzw. Upgrades und habe auch öfter openssl in der Paketauflistung gesehen. Ein apt-get install openssl zeigt mir ebenfalls "openssl is already the newest version." an. Ich verwende Debian 7.7.
Scheinbar war der Aufbau meines Commands falsch, ich habe auch zuerst ein .csr kreiert. Wobei ich nicht ganz verstehe, wieso ohne entsprechende Angabe nicht der in der config hinterlegte default Wert genommen wird.
Nun zeigt mir das Zertifikat jedenfalls auch unter Windows die gewünschten sha256 an. Nochmal vielen Dank

Allerdings wundert mich die angezeigte Version "OpenSSL 1.0.1e 11 Feb 2013". Ich mache natürlich regelmäßig Updates bzw. Upgrades und habe auch öfter openssl in der Paketauflistung gesehen. Ein apt-get install openssl zeigt mir ebenfalls "openssl is already the newest version." an. Ich verwende Debian 7.7.
Re: openssl sha256 cert
Yo, leider sehr verwirrend bei openssl:
Man muss in der Section "[ req ]" ein
default_md = sha256
einfügen und dann klappts (und nicht, wie man erwarten würde, in der Section [ CA_default ] das bereits bestehende
default_md
ändern.
Benutze debian testing (aka jessie) und deshalb die neuere openssl-Version (bei der sha256 schon default ist, somit wäre der Parameter -sha256 eigentlich überflüssig).
Ende gut, alles gut
Man muss in der Section "[ req ]" ein
default_md = sha256
einfügen und dann klappts (und nicht, wie man erwarten würde, in der Section [ CA_default ] das bereits bestehende
default_md
ändern.
Benutze debian testing (aka jessie) und deshalb die neuere openssl-Version (bei der sha256 schon default ist, somit wäre der Parameter -sha256 eigentlich überflüssig).
Ende gut, alles gut

Re: openssl sha256 cert
Achso! Nochmal vielen Dank 

Re: openssl sha256 cert
Oder gleich sha512 so hab ich das jetzt im Büro bei der neuen CA gemacht.
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
Re: openssl sha256 cert
Geht natürlich auch, ich habe für meinen privaten Mailserver ebenfalls sha512 verwendet. Wenn es dann aber an eine Zertifizierungsstelle geht die sowieso nur mit sha256 signiert, bringt das nun auch nichts
Es ging hier auch insgesamt weniger um sha256, als um die Tatsache, dass ich immer ein sha1 Zertifikat bekommen habe. Nur als Info 

