sha2證書

㈠ Windwos CA伺服器 可以生成sha2證書嗎

一般情況下，如果能找到可用的證書，就可以直接使用，只不過會因證書的某些信息不正確或與部署證書的主機不匹配而導致瀏覽器提示證書無效，但這並不影響使用。
需要手工生成證書的情況有：
找不到可用的證書
需要配置雙向SSL，但缺少客戶端證書
需要對證書作特別的定製
首先，無論是在Linux下還是在Windows下的Cygwin中，進行下面的操作前都須確認已安裝OpenSSL軟體包。
1. 創建根證書密鑰文件(自己做CA)root.key：
openssl genrsa -des3 -out root.key
輸出內容為：
[lenin@archer ~]$ openssl genrsa -des3 -out root.key
Generating RSA private key, 512 bit long molus
……………..++++++++++++
..++++++++++++
e is 65537 (0×10001)
Enter pass phrase for root.key: ← 輸入一個新密碼
Verifying – Enter pass phrase for root.key: ← 重新輸入一遍密碼
2. 創建根證書的申請文件root.csr：
openssl req -new -key root.key -out root.csr
輸出內容為：
[lenin@archer ~]$ openssl req -new -key root.key -out root.csr
Enter pass phrase for root.key: ← 輸入前面創建的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家代號，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省的全名，拼音
Locality Name (eg, city) []:BeiJing ← 市的全名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不輸入
Common Name (eg, YOUR name) []: ← 此時不輸入
Email Address []:[email protected] ← 電子郵箱，可隨意填
Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不輸入
An optional company name []: ← 可以不輸入
3. 創建一個自當前日期起為期十年的根證書root.crt：
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.req -out root.crt
輸出內容為：
[lenin@archer ~]$ openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./[email protected]
Getting Private key
Enter pass phrase for root.key: ← 輸入前面創建的密碼
4. 創建伺服器證書密鑰server.key：
openssl genrsa –des3 -out server.key 2048
輸出內容為：
[lenin@archer ~]$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long molus
….+++
…………………………………………..+++
e is 65537 (0×10001)
運行時會提示輸入密碼,此密碼用於加密key文件(參數des3便是指加密演算法,當然也可以選用其他你認為安全的演算法.),以後每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要採取其他的保護措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
5.創建伺服器證書的申請文件server.csr：
openssl req -new -key server.key -out server.csr
輸出內容為：
[lenin@archer ~]$ openssl req -new -key server.key -out server.req
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家名稱，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名，拼音
Locality Name (eg, city) []:BeiJing ← 市名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不輸入
Common Name (eg, YOUR name) []: ← 伺服器主機名，若填寫不正確，瀏覽器會報告證書無效，但並不影響使用
Email Address []:[email protected] ← 電子郵箱，可隨便填
Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不輸入
An optional company name []: ← 可以不輸入
6. 創建自當前日期起有效期為期兩年的伺服器證書server.crt：
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt
輸出內容為：
[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 輸入前面創建的密碼
7. 創建客戶端證書密鑰文件client.key：
openssl genrsa -des3 -out client.key 2048
輸出內容為：
[lenin@archer ~]$ openssl genrsa -des3 -out client.key 2048
Generating RSA private key, 2048 bit long molus
……………………………………………………………………………..+++
……………………………………………………………………………………………………….+++
e is 65537 (0×10001)
Enter pass phrase for client.key: ← 輸入一個新密碼
Verifying – Enter pass phrase for client.key: ← 重新輸入一遍密碼
8. 創建客戶端證書的申請文件client.csr：
openssl req -new -key client.key -out client.csr
輸出內容為：
[lenin@archer ~]$ openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key: ← 輸入上一步中創建的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家名稱，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名稱，拼音
Locality Name (eg, city) []:BeiJing ← 市名稱，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不填
Common Name (eg, YOUR name) []:Lenin ← 自己的英文名，可以隨便填
Email Address []:[email protected] ← 電子郵箱，可以隨便填
Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不填
An optional company name []: ← 可以不填
9. 創建一個自當前日期起有效期為兩年的客戶端證書client.crt：
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt
輸出內容為：
[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 輸入上面創建的密碼
10. 將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx：
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
輸出內容為：
[lenin@archer ~]$ openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
Enter pass phrase for client.key: ← 輸入上面創建的密碼
Enter Export Password: ← 輸入一個新的密碼，用作客戶端證書的保護密碼，在客戶端安裝證書時需要輸入此密碼
Verifying – Enter Export Password: ← 確認密碼
11. 保存生成的文件備用，其中server.crt和server.key是配置單向SSL時需要使用的證書文件，client.crt是配置雙向SSL時需要使用的證書文件，client.pfx是配置雙向SSL時需要客戶端安裝的證書文件
.crt文件和.key可以合到一個文件裡面，把2個文件合成了一個.pem文件（直接拷貝過去就行了）
參考：

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

x509證書一般會用到三類文，key，csr，crt。
Key是私用密鑰openssl格，通常是rsa演算法。
Csr是證書請求文件，用於申請證書。在製作csr文件的時，必須使用自己的私鑰來簽署申，還可以設定一個密鑰。
crt是CA認證後的證書文，（windows下面的，其實是crt），簽署人用自己的key給你簽署的憑證。

1.key的生成
opensslgenrsa -des3 -out server.key 2048
這樣是生成rsa私鑰，des3演算法，openssl格式，2048位強度。server.key是密鑰文件名。為了生成這樣的密鑰，需要一個至少四位的密碼。可以通過以下方法生成沒有密碼的key:
opensslrsa -in server.key -out server.key

server.key就是沒有密碼的版本了。

2.生成CA的crt
opensslreq -new -x509 -key server.key -out ca.crt -days3650
生成的ca.crt文件是用來簽署下面的server.csr文件。

3.csr的生成方法
opensslreq -new -key server.key -outserver.csr
需要依次輸入國家，地區，組織，email。最重要的是有一個common name，可以寫你的名字或者域名。如果為了https申請，這個必須和域名吻合，否則會引發瀏覽器警報。生成的csr文件交給CA簽名後形成服務端自己的證書。

4.crt生成方法
CSR文件必須有CA的簽名才可形成證書，可將此文件發送到verisign等地方由它驗證，要交一大筆錢，何不自己做CA呢。
opensslx509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key-CAcreateserial -out server.crt
輸入key的密鑰後，完成證書生成。-CA選項指明用於被簽名的csr證書，-CAkey選項指明用於簽名的密鑰，-CAserial指明序列號文件，而-CAcreateserial指明文件不存在時自動生成。
最後生成了私用密鑰：server.key和自己認證的SSL證書：server.crt
證書合並：
catserver.key server.crt > server.pem

㈡ 伺服器證書SHA1和SHA2演算法有和區別

SHA1演算法是為了兼容部分低版本的伺服器，而在幾年前SHA1演算法逐漸淘汰，由於發展，SHA1演算法已經滿足不了安全需求，從而有更高版本SHA2替代。SHA2演算法的證書更加安全，目前能夠兼容xp sp3以上的客戶端系統。如果需要安裝SHA2演算法可以找天威誠信的技術人員進行安裝。

㈢ ssl盾的ssl證書的簽發是用sha1還是sha2

sha2

解釋原因：

1. sha2是目前最新行業更新演算法標准。
   

2. 目前雖然擁有部分數字證書採取sha1，但以後這些系統將提示警告。

3. 如果您使用的 Web Server程序、客戶端瀏覽器軟體或操作系統無法達到SHA256演算法的最低要求，建議您升級您的程序或系統版本，以確保更安全的使用SHA256簽名演算法證書產品。

4. 2016年1月1日將正式停止簽發SHA-1演算法的SSL證書，屆時所有新簽發的SSL證書將遵循更高安全度的SHA2簽名演算法。
   

解決辦法：建議在Gworg申請sha2證書。

㈣ SHA1代碼簽名證書是什麼

SHA1是一種安全演算法，主要用來驗證數據的完整性。

對於從網上下載文件時，它專是非常重要的，SHA1可以驗證您屬下載的文件是是不是你所期望下載的文件。

軟體作者通常壓縮軟體，然後計算出一個「校驗和」根據內容，並張貼，旁邊的鏈接下載該文件的校驗。 然後，你在下載完成後，重新計算、校驗、比較一下文件，確保您計算和校驗的文件與作者發布的想匹配。 如果他們不匹配，那麼你不應該使用下載的文件，因為它可能已被篡改。在這種情況下，你也應該向作者報告問題，使他們能夠做相應的調查或修改。

代碼簽名證書能夠對企業的應用和文檔進行簽名，從而防止第三方在未經許可的情況下對其進行修改。基本上，所有軟體公司在分發軟體時都必須購買和使用代碼簽名證書。缺少代碼簽名證書的軟體在安裝時，Windows等各種操作系統平台會彈出軟體不安全的提示，從而導致客戶的對產品信任度降低。

解決方法：在ssln可以購買代碼簽名證書

㈤ XP SP2的系統現在能支持SHA2的SSL證書了嗎

xp sp2暫時不支持sha2演算法，需要升級到sp3系統才可以。具體可以參考https://bbs.wosign.com/forum.php?mod=viewthread&tid=1433&extra=page%3D1

㈥ 買了一張代碼簽名證書之後，能同時支持sha-1和sha-2嗎

代碼簽名證書主要支持SHA-1，SHA-2的演算法。SHA-1演算法因為被破解的原因，存在安全性問題，所以目前一般是使用SHA-2演算法的證書。但是如果您的軟體需要支持Windows XP等操作系統，還是需要購買支持SHA-1演算法的代碼簽名證書。

EV代碼簽名證書目前只支持SHA-2演算法。對於普通代碼簽名，只要買一張代碼簽名證書，即可申請支持SHA1和SHA2演算法的證書。

解決方式：代碼簽名證書演算法可在ssln詢問

㈦ 求解ssl證書的SHA2演算法支持列表

SHA256演算法在不同WEB Server、客戶端瀏覽器及操作系統環境中，存在一定兼容性問題。以下是對SHA256演算法兼容性相關的統計信息。如若您使用的 Web Server程序、客戶端瀏覽器軟體或操作系統無法達到SHA256演算法的最低要求，建議您升級您的程序或系統版本，以確保更安全的使用我們的證書產品。

操作系統及環境要求：
Android2.3+
AppleiOS 3.0+
AppleOS X 10.5+
Blackberry5.0+
ChromeOSAll
WindowsOutlook 2003 SP3+（Vista及以上系統）
WindowsPhone 7+
Windows XP SP3+
OpenSSL0.9.8o+
Java1.4.2+

瀏覽器要求：

AdobeAcrobat/Reader 7
Chrome26+
Chrome for Linux
Chrome for Mac OS X 10.5+
Firefox 1.5+
InternetExplorer 6+ (Windows XP SP3及以上)
Mozilla1.4+ (NSS 3.8+)
Netscape7.1+
Opera9.0+
Safarifor 3+ Mac OS X 10.5+

WebServer版本要求：

Apache2.0.63+ With OpenSSL 0.9.8o+
WindowsServer 2003+ with patch938397 (或SP3+)
WindowsXP/Server2003 with patch 968730 (或SP3+)
WindowsServer 2008+
基於Java的server，Java1.4.2+
OracleWebLogic v12+
OracleWallet Manager 11.2.0.1+
IBMHTTP Server 8.5
LotusDomino 9+
Websphereapplication Server v8.0.0.4+
JuniperSecure Access - SA 6.4R5, 6.5R3或 7.0R1+

㈧ 怎麼判斷數字證書是否支持sha256或sha1

sha1證書目前已經停止簽發了，後面簽發的新證書基本都是sha256，只有以前簽發的存在以下sha1證書，sha1證書谷歌等瀏覽器會報風險，顯示黃色安全鎖。參考http://www.wosign.com/faq/faq2016-0115-01.htm

㈨ SHA1和SHA2的數字證書有什麼區別

現在已經不可以頒發sha-1演算法的數字簽名證書，到2017年1月開始sha1演算法的證書會禁用。sha1演算法的證書加密強度太低，已經禁止頒發sha1演算法的證書。

㈩ 如何解決Windows 2003 server不能正常顯示SHA2簽名演算法SSL證書

如何解決
Windows
2003
server
不能正常顯示
SHA2簽名演算法SSL證書您在Windows
2003
Server上點擊WoSign頒發的SHA2簽名演算法SSL證書時，如果顯示如下圖1所示證書錯誤信息，這有可能是FTP傳輸證書公鑰文件時損壞了證書文件。請再點擊「詳細信息」，如果你看到如下圖2所示的「簽名演算法：
1.2.840.113549.1.1.11」，那就排除了文件已經損壞的可能，一定是您的Windows
2003
Servre不支持
SHA256簽名演算法。您需要下載微軟HotFix
KB968730
補丁(
X86平台中文、X86平台英文、X64平台中文、X64平台英文
)，安裝後就會正常顯示SHA256
簽名演算法了，請注意：
WoSign
頒發給用戶的證書預設採用SHA1簽名演算法，主要還是考慮到有許多用戶電腦的Windows
XP系統不支持SHA256簽名演算法。但由於SHA1簽名演算法仍然存在可能在不久的將來被破解的可能，所以微軟根據美國國家標准技術研究院(NIST)發出的安全指引，在有關文檔「SHA2
and
Windows」
中要求所有受信任的證書頒發機構(CA)從2012年1月1日起都必須能根據用戶的要求簽發支持SHA256的數字證書，所有操作系統和伺服器軟體等各種相關軟體都必須能支持SHA256簽名演算法，請參考
SP
800-78-2
和
SP
800-57)。
WoSign
新證書頒發系統現在提前半年多支持簽發SHA2證書，用戶可以選擇要求其證書是用SHA1簽名還是用SHA2簽名。