Доступ к хранилищу ключей на веб-сервере Sun ONE 6.1 для SSL длиной 2048 бит
Мы хотим получить CSR-запросы длиной 2048 бит. Графический интерфейс на основе браузера предоставляет нам 1024-битный CSR, и я не знаю, как это изменить.
Кажется, что 1024-битные ключи больше не будут поддерживаться компаниями SSL. (Варианты с более низкой стоимостью поддерживают только 2048 бит. Thawte, который намного дороже, говорит, что он принимает 1024 только за один или два года сертификатов, но не 3). Рассматриваемые устаревшие системы работают под управлением Sun ONE Webserver 6.1. Обновление заняло бы много времени, и мы бы предпочли не делать это прямо сейчас. Мы будем постепенно сокращать это, но это займет некоторое время, так что...
Понял!!
Это для той же версии веб-сервера, который я использую.
/opt/SUNWwbsvr/bin/https/admin/bin/certutil -R -s "CN=sub.domain.ext,OU=org unit,O=company name,L=city,ST=spelled state,C=US,E=email" -a -k rsa -g 2048 -v 12 -d /opt/SUNWwbsvr/alias -P https-sub.domain.ext-hostname- -Z SHA1
2 ответа
Я использовал команду, описанную на этой странице.
Это для той же версии веб-сервера, который я использую.
/opt/SUNWwbsvr/bin/https/admin/bin/certutil -R -s \
"CN=sub.domain.ext,OU=org unit,O=company name,L=city,ST=spelled state,C=US,E=email" \
-a -k rsa -g 2048 -v 12 -d /opt/SUNWwbsvr/alias -P https-sub.domain.ext-hostname- -Z SHA1
У меня нет места, где я могу это проверить, так что я думаю о том, что я попробую...
Сначала сделайте резервную копию cert8.db и key.db где-нибудь. Затем удалите оригиналы и попробуйте сделать что-то новое:
% certutil -S -x -n nickname -t "u,u,u" -v num_of_valid_months -s subjectDN -d /opt/SUNWwbsvr/alias/https-sub.domain.ext-hostname-cert8.db [-h tokenname]
Я рассматриваю возможности по адресу: http://developers.sun.com/appserver/reference/techart/keymgmt.html
Это работает? Тогда работает ли следующее?
certutil -L -d /opt/SUNWwbsvr/alias/https-sub.domain.ext-hostname-cert8.db
Если так, что произойдет, если вы перезапустите веб-сервер? Нравится ли новый сертификат? Если ему нравится сертификат, вы можете вместо этого попытаться создать запрос на подпись с 2048 битами.