Seite 1 von 1

openssl sha256 cert

Verfasst: 20.12.2014 06:51:50
von Guarak
Hallo

Ich habe ein Problem beim Erstellen eines SSL Zertifikats mit sha256.

Wenn ich beim Command direkt -sha256 einfüge, kreiert openssl trotzdem ein sha1 Zertifikat. Ich habe ebenfalls versucht in der /etc/ssl/openssl.cnf bei default_md sha256 einzutragen. Bringt auch nichts, Windows zeigt mir in den Zertifikat Details immer sha1 an.

Hat einer ne Idee woran das liegen könnte? Ich habe über Google leider nicht wirklich etwas hilfreiches zum Thema gefunden.

Re: openssl sha256 cert

Verfasst: 20.12.2014 07:47:52
von dufty2

Code: Alles auswählen

$ openssl version
OpenSSL 1.0.1j 15 Oct 2014

$ openssl req -x509 -sha1 -days 365 -newkey rsa:2048 -out sha1.crt
$ openssl x509 -text -noout -in sha1.crt | grep Signature
    Signature Algorithm: sha1WithRSAEncryption
    Signature Algorithm: sha1WithRSAEncryption

$ openssl req -x509 -sha256 -days 365 -newkey rsa:2048 -out sha256.crt
$ openssl x509 -text -noout -in sha256.crt | grep Signature
    Signature Algorithm: sha256WithRSAEncryption
    Signature Algorithm: sha256WithRSAEncryption
Mmmh, aber ein sehr altes Windows hast Du nicht, oder?

Re: openssl sha256 cert

Verfasst: 20.12.2014 08:12:40
von Guarak
Vielen Dank dufty2 !!!

Scheinbar war der Aufbau meines Commands falsch, ich habe auch zuerst ein .csr kreiert. Wobei ich nicht ganz verstehe, wieso ohne entsprechende Angabe nicht der in der config hinterlegte default Wert genommen wird.

Nun zeigt mir das Zertifikat jedenfalls auch unter Windows die gewünschten sha256 an. Nochmal vielen Dank :)

Allerdings wundert mich die angezeigte Version "OpenSSL 1.0.1e 11 Feb 2013". Ich mache natürlich regelmäßig Updates bzw. Upgrades und habe auch öfter openssl in der Paketauflistung gesehen. Ein apt-get install openssl zeigt mir ebenfalls "openssl is already the newest version." an. Ich verwende Debian 7.7.

Re: openssl sha256 cert

Verfasst: 20.12.2014 08:55:41
von dufty2
Yo, leider sehr verwirrend bei openssl:

Man muss in der Section "[ req ]" ein
default_md = sha256
einfügen und dann klappts (und nicht, wie man erwarten würde, in der Section [ CA_default ] das bereits bestehende
default_md
ändern.

Benutze debian testing (aka jessie) und deshalb die neuere openssl-Version (bei der sha256 schon default ist, somit wäre der Parameter -sha256 eigentlich überflüssig).

Ende gut, alles gut :)

Re: openssl sha256 cert

Verfasst: 20.12.2014 09:28:45
von Guarak
Achso! Nochmal vielen Dank :)

Re: openssl sha256 cert

Verfasst: 20.12.2014 16:07:14
von slu
Oder gleich sha512 so hab ich das jetzt im Büro bei der neuen CA gemacht.

Re: openssl sha256 cert

Verfasst: 20.12.2014 21:14:20
von Guarak
Geht natürlich auch, ich habe für meinen privaten Mailserver ebenfalls sha512 verwendet. Wenn es dann aber an eine Zertifizierungsstelle geht die sowieso nur mit sha256 signiert, bringt das nun auch nichts :) Es ging hier auch insgesamt weniger um sha256, als um die Tatsache, dass ich immer ein sha1 Zertifikat bekommen habe. Nur als Info :)