Tạo chứng chỉ bằng thuật toán ECDSA_P256 nhưng có chữ ký sha256RSA

Krzysztof J. Obara

20:15, 24/12/2022

Nếu bạn xem chứng chỉ mã hóa google.com, nó sẽ quảng cáo khóa ECC 256 bit với ECDSA_P256 tham số. Thuật toán chữ ký là sha256RSA. Tôi đã cố gắng đạt được điều gì đó tương tự bằng cách chạy bộ lệnh bên dưới, nhưng vì -tiêu tham số tôi sử dụng là -sha256 kết quả luôn là thuật toán chữ ký sha256ECDSA. Vì vậy, câu hỏi đặt ra là - Google đã làm điều đó như thế nào và điều đó có khả thi với OpenSSL (1.1.1k) không?

Có phải là do chứng chỉ của họ được ký bởi chứng chỉ CA là RSA chứ không phải ECDSA (trong khi của tôi là chứng chỉ gốc ECDSA tự ký)?

openssl genpkey -genparam -out ./hmca-ec.param -algorithm EC -pkeyopt ec_paramgen_curve:prime256v1

openssl genpkey -paramfile ./hmca-ec.param -out ./hmca-ec.key -pass pass:"pass" -aes-256-ecb

openssl req -x509 -new -key ./hmca-ec.key -sha256 -days 365 \
 -config ./hmca.conf -reqexts SAN -extensions SAN -out ./hmca-ec.crt

conf (nếu có vấn đề) trông như thế này:

[yêu cầu]
phân biệt_name = trực tiếp
x509_extensions = SAN
req_extensions = SAN
nhắc nhở = không

[SAN]
chủ đềKeyIdentifier=băm
chủ đềAltName = dirName:dirsect
ExtendedKeyUsage = serverAuth, clientAuth
basicConstraints = CA:TRUE
keyUsage = quan trọng, chữ ký kỹ thuật số, thỏa thuận chính, keyCertSign

[trực tiếp]
C = Hoa Kỳ
ô = một
CN = b

371

0 + 3

sha-256

Maarten Bodewes

21:25, 24/12/2022

Uh, trước tiên hãy tạo chứng chỉ gốc RSA tự ký và sau đó sử dụng chứng chỉ đó để ký yêu cầu chứng chỉ được tạo bằng cặp khóa EC(DSA)? Câu hỏi của bạn là gì?

Hồi đáp

dave_thompson_085

22:47, 24/12/2022

Trên thực tế, tùy thuộc vào bộ mật mã hoặc sigalgs được cung cấp, google.com sử dụng chứng chỉ có EC(DSA) P256 _hoặc_ chứng chỉ có RSA-2048; cả hai đều được cấp bằng chữ ký sha256-RSA bởi `GTS CA 1C3` với khóa RSA-2048. `GTS CA 1C3` tự nó là trung gian, không phải gốc; chứng chỉ của nó được cấp bởi `GTS Root R1`, là RSA-4096 và hiện có trong hầu hết các cửa hàng ủy thác (?) nhưng cũng được kết nối với `GlobalSign Root CA` cũ hơn (1998) và RSA-2048. Xem ssllabs.com/ssltest. @MaartenBodewes: vì vậy bạn có thể sử dụng _any_ RSA CA (không chỉ là root tự ký) để xử lý CSR cho EC P256.

Hồi đáp

Maarten Bodewes

22:56, 24/12/2022

Chắc chắn, tôi chỉ chỉ ra con đường ngắn nhất :P

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Generating certificate using ECDSA_P256 algorithm but with sha256RSA signature

TH: กำลังสร้างใบรับรองโดยใช้อัลกอริทึม ECDSA_P256 แต่มีลายเซ็น sha256RSA

RO: Se generează certificat folosind algoritmul ECDSA_P256 dar cu semnătura sha256RSA

RU: Генерация сертификата по алгоритму ECDSA_P256, но с подписью sha256RSA

VI: Tạo chứng chỉ bằng thuật toán ECDSA_P256 nhưng có chữ ký sha256RSA

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.