sha2证书

㈠ Windwos CA服务器 可以生成sha2证书吗

一般情况下，如果能找到可用的证书，就可以直接使用，只不过会因证书的某些信息不正确或与部署证书的主机不匹配而导致浏览器提示证书无效，但这并不影响使用。
需要手工生成证书的情况有：
找不到可用的证书
需要配置双向SSL，但缺少客户端证书
需要对证书作特别的定制
首先，无论是在Linux下还是在Windows下的Cygwin中，进行下面的操作前都须确认已安装OpenSSL软件包。
1. 创建根证书密钥文件(自己做CA)root.key：
openssl genrsa -des3 -out root.key
输出内容为：
[lenin@archer ~]$ openssl genrsa -des3 -out root.key
Generating RSA private key, 512 bit long molus
……………..++++++++++++
..++++++++++++
e is 65537 (0×10001)
Enter pass phrase for root.key: ← 输入一个新密码
Verifying – Enter pass phrase for root.key: ← 重新输入一遍密码
2. 创建根证书的申请文件root.csr：
openssl req -new -key root.key -out root.csr
输出内容为：
[lenin@archer ~]$ openssl req -new -key root.key -out root.csr
Enter pass phrase for root.key: ← 输入前面创建的密码
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 国家代号，中国输入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省的全名，拼音
Locality Name (eg, city) []:BeiJing ← 市的全名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不输入
Common Name (eg, YOUR name) []: ← 此时不输入
Email Address []:[email protected] ← 电子邮箱，可随意填
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不输入
An optional company name []: ← 可以不输入
3. 创建一个自当前日期起为期十年的根证书root.crt：
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.req -out root.crt
输出内容为：
[lenin@archer ~]$ openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./[email protected]
Getting Private key
Enter pass phrase for root.key: ← 输入前面创建的密码
4. 创建服务器证书密钥server.key：
openssl genrsa –des3 -out server.key 2048
输出内容为：
[lenin@archer ~]$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long molus
….+++
…………………………………………..+++
e is 65537 (0×10001)
运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
5.创建服务器证书的申请文件server.csr：
openssl req -new -key server.key -out server.csr
输出内容为：
[lenin@archer ~]$ openssl req -new -key server.key -out server.req
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 国家名称，中国输入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名，拼音
Locality Name (eg, city) []:BeiJing ← 市名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不输入
Common Name (eg, YOUR name) []: ← 服务器主机名，若填写不正确，浏览器会报告证书无效，但并不影响使用
Email Address []:[email protected] ← 电子邮箱，可随便填
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不输入
An optional company name []: ← 可以不输入
6. 创建自当前日期起有效期为期两年的服务器证书server.crt：
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt
输出内容为：
[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 输入前面创建的密码
7. 创建客户端证书密钥文件client.key：
openssl genrsa -des3 -out client.key 2048
输出内容为：
[lenin@archer ~]$ openssl genrsa -des3 -out client.key 2048
Generating RSA private key, 2048 bit long molus
……………………………………………………………………………..+++
……………………………………………………………………………………………………….+++
e is 65537 (0×10001)
Enter pass phrase for client.key: ← 输入一个新密码
Verifying – Enter pass phrase for client.key: ← 重新输入一遍密码
8. 创建客户端证书的申请文件client.csr：
openssl req -new -key client.key -out client.csr
输出内容为：
[lenin@archer ~]$ openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key: ← 输入上一步中创建的密码
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 国家名称，中国输入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名称，拼音
Locality Name (eg, city) []:BeiJing ← 市名称，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不填
Common Name (eg, YOUR name) []:Lenin ← 自己的英文名，可以随便填
Email Address []:[email protected] ← 电子邮箱，可以随便填
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不填
An optional company name []: ← 可以不填
9. 创建一个自当前日期起有效期为两年的客户端证书client.crt：
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt
输出内容为：
[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 输入上面创建的密码
10. 将客户端证书文件client.crt和客户端证书密钥文件client.key合并成客户端证书安装包client.pfx：
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
输出内容为：
[lenin@archer ~]$ openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
Enter pass phrase for client.key: ← 输入上面创建的密码
Enter Export Password: ← 输入一个新的密码，用作客户端证书的保护密码，在客户端安装证书时需要输入此密码
Verifying – Enter Export Password: ← 确认密码
11. 保存生成的文件备用，其中server.crt和server.key是配置单向SSL时需要使用的证书文件，client.crt是配置双向SSL时需要使用的证书文件，client.pfx是配置双向SSL时需要客户端安装的证书文件
.crt文件和.key可以合到一个文件里面，把2个文件合成了一个.pem文件（直接拷贝过去就行了）
参考：

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

x509证书一般会用到三类文，key，csr，crt。
Key是私用密钥openssl格，通常是rsa算法。
Csr是证书请求文件，用于申请证书。在制作csr文件的时，必须使用自己的私钥来签署申，还可以设定一个密钥。
crt是CA认证后的证书文，（windows下面的，其实是crt），签署人用自己的key给你签署的凭证。

1.key的生成
opensslgenrsa -des3 -out server.key 2048
这样是生成rsa私钥，des3算法，openssl格式，2048位强度。server.key是密钥文件名。为了生成这样的密钥，需要一个至少四位的密码。可以通过以下方法生成没有密码的key:
opensslrsa -in server.key -out server.key

server.key就是没有密码的版本了。

2.生成CA的crt
opensslreq -new -x509 -key server.key -out ca.crt -days3650
生成的ca.crt文件是用来签署下面的server.csr文件。

3.csr的生成方法
opensslreq -new -key server.key -outserver.csr
需要依次输入国家，地区，组织，email。最重要的是有一个common name，可以写你的名字或者域名。如果为了https申请，这个必须和域名吻合，否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。

4.crt生成方法
CSR文件必须有CA的签名才可形成证书，可将此文件发送到verisign等地方由它验证，要交一大笔钱，何不自己做CA呢。
opensslx509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key-CAcreateserial -out server.crt
输入key的密钥后，完成证书生成。-CA选项指明用于被签名的csr证书，-CAkey选项指明用于签名的密钥，-CAserial指明序列号文件，而-CAcreateserial指明文件不存在时自动生成。
最后生成了私用密钥：server.key和自己认证的SSL证书：server.crt
证书合并：
catserver.key server.crt > server.pem

㈡ 服务器证书SHA1和SHA2算法有和区别

SHA1算法是为了兼容部分低版本的服务器，而在几年前SHA1算法逐渐淘汰，由于发展，SHA1算法已经满足不了安全需求，从而有更高版本SHA2替代。SHA2算法的证书更加安全，目前能够兼容xp sp3以上的客户端系统。如果需要安装SHA2算法可以找天威诚信的技术人员进行安装。

㈢ ssl盾的ssl证书的签发是用sha1还是sha2

sha2

解释原因：

1. sha2是目前最新行业更新算法标准。
   

2. 目前虽然拥有部分数字证书采取sha1，但以后这些系统将提示警告。

3. 如果您使用的 Web Server程序、客户端浏览器软件或操作系统无法达到SHA256算法的最低要求，建议您升级您的程序或系统版本，以确保更安全的使用SHA256签名算法证书产品。

4. 2016年1月1日将正式停止签发SHA-1算法的SSL证书，届时所有新签发的SSL证书将遵循更高安全度的SHA2签名算法。
   

解决办法：建议在Gworg申请sha2证书。

㈣ SHA1代码签名证书是什么

SHA1是一种安全算法，主要用来验证数据的完整性。

对于从网上下载文件时，它专是非常重要的，SHA1可以验证您属下载的文件是是不是你所期望下载的文件。

软件作者通常压缩软件，然后计算出一个“校验和”根据内容，并张贴，旁边的链接下载该文件的校验。 然后，你在下载完成后，重新计算、校验、比较一下文件，确保您计算和校验的文件与作者发布的想匹配。 如果他们不匹配，那么你不应该使用下载的文件，因为它可能已被篡改。在这种情况下，你也应该向作者报告问题，使他们能够做相应的调查或修改。

代码签名证书能够对企业的应用和文档进行签名，从而防止第三方在未经许可的情况下对其进行修改。基本上，所有软件公司在分发软件时都必须购买和使用代码签名证书。缺少代码签名证书的软件在安装时，Windows等各种操作系统平台会弹出软件不安全的提示，从而导致客户的对产品信任度降低。

解决方法：在ssln可以购买代码签名证书

㈤ XP SP2的系统现在能支持SHA2的SSL证书了吗

xp sp2暂时不支持sha2算法，需要升级到sp3系统才可以。具体可以参考https://bbs.wosign.com/forum.php?mod=viewthread&tid=1433&extra=page%3D1

㈥ 买了一张代码签名证书之后，能同时支持sha-1和sha-2吗

代码签名证书主要支持SHA-1，SHA-2的算法。SHA-1算法因为被破解的原因，存在安全性问题，所以目前一般是使用SHA-2算法的证书。但是如果您的软件需要支持Windows XP等操作系统，还是需要购买支持SHA-1算法的代码签名证书。

EV代码签名证书目前只支持SHA-2算法。对于普通代码签名，只要买一张代码签名证书，即可申请支持SHA1和SHA2算法的证书。

解决方式：代码签名证书算法可在ssln询问

㈦ 求解ssl证书的SHA2算法支持列表

SHA256算法在不同WEB Server、客户端浏览器及操作系统环境中，存在一定兼容性问题。以下是对SHA256算法兼容性相关的统计信息。如若您使用的 Web Server程序、客户端浏览器软件或操作系统无法达到SHA256算法的最低要求，建议您升级您的程序或系统版本，以确保更安全的使用我们的证书产品。

操作系统及环境要求：
Android2.3+
AppleiOS 3.0+
AppleOS X 10.5+
Blackberry5.0+
ChromeOSAll
WindowsOutlook 2003 SP3+（Vista及以上系统）
WindowsPhone 7+
Windows XP SP3+
OpenSSL0.9.8o+
Java1.4.2+

浏览器要求：

AdobeAcrobat/Reader 7
Chrome26+
Chrome for Linux
Chrome for Mac OS X 10.5+
Firefox 1.5+
InternetExplorer 6+ (Windows XP SP3及以上)
Mozilla1.4+ (NSS 3.8+)
Netscape7.1+
Opera9.0+
Safarifor 3+ Mac OS X 10.5+

WebServer版本要求：

Apache2.0.63+ With OpenSSL 0.9.8o+
WindowsServer 2003+ with patch938397 (或SP3+)
WindowsXP/Server2003 with patch 968730 (或SP3+)
WindowsServer 2008+
基于Java的server，Java1.4.2+
OracleWebLogic v12+
OracleWallet Manager 11.2.0.1+
IBMHTTP Server 8.5
LotusDomino 9+
Websphereapplication Server v8.0.0.4+
JuniperSecure Access - SA 6.4R5, 6.5R3或 7.0R1+

㈧ 怎么判断数字证书是否支持sha256或sha1

sha1证书目前已经停止签发了，后面签发的新证书基本都是sha256，只有以前签发的存在以下sha1证书，sha1证书谷歌等浏览器会报风险，显示黄色安全锁。参考http://www.wosign.com/faq/faq2016-0115-01.htm

㈨ SHA1和SHA2的数字证书有什么区别

现在已经不可以颁发sha-1算法的数字签名证书，到2017年1月开始sha1算法的证书会禁用。sha1算法的证书加密强度太低，已经禁止颁发sha1算法的证书。

㈩ 如何解决Windows 2003 server不能正常显示SHA2签名算法SSL证书

如何解决
Windows
2003
server
不能正常显示
SHA2签名算法SSL证书您在Windows
2003
Server上点击WoSign颁发的SHA2签名算法SSL证书时，如果显示如下图1所示证书错误信息，这有可能是FTP传输证书公钥文件时损坏了证书文件。请再点击“详细信息”，如果你看到如下图2所示的“签名算法：
1.2.840.113549.1.1.11”，那就排除了文件已经损坏的可能，一定是您的Windows
2003
Servre不支持
SHA256签名算法。您需要下载微软HotFix
KB968730
补丁(
X86平台中文、X86平台英文、X64平台中文、X64平台英文
)，安装后就会正常显示SHA256
签名算法了，请注意：
WoSign
颁发给用户的证书缺省采用SHA1签名算法，主要还是考虑到有许多用户电脑的Windows
XP系统不支持SHA256签名算法。但由于SHA1签名算法仍然存在可能在不久的将来被破解的可能，所以微软根据美国国家标准技术研究院(NIST)发出的安全指引，在有关文档“SHA2
and
Windows”
中要求所有受信任的证书颁发机构(CA)从2012年1月1日起都必须能根据用户的要求签发支持SHA256的数字证书，所有操作系统和服务器软件等各种相关软件都必须能支持SHA256签名算法，请参考
SP
800-78-2
和
SP
800-57)。
WoSign
新证书颁发系统现在提前半年多支持签发SHA2证书，用户可以选择要求其证书是用SHA1签名还是用SHA2签名。