我正在尝试使用 Let's Encrypt 为我的 Web 服务器生成证书。我想用openssl手动生成key和csr,然后用letsencrypt/certbot来获取证书。我特别希望证书使用 sha256withecdsa
。特别是我想使用曲线 secp521r1
(又名 P-521
)。
key 生成和 csr 生成工作正常,但是,当我输入命令时
certbot certonly --apache -d [censored] --csr mycsr.csr --agree-tos
我收到以下错误:
The request message was malformed :: Invalid key in certificate request :: ECDSA curve P-521 not allowed
ECDSA
仍然不受支持,还是我做错了什么?
最佳答案
虽然 P-521 是 valid对于在 X.509 证书中的使用,大多数浏览器都放弃了对它的支持,因为它不是 Suite B 的一部分并且不是很受欢迎。结果,Certbot doesn't allow使用 P-521 生成证书,因为浏览器无论如何都会拒绝它。您仍然可以使用 P-256 和 P-384 曲线生成证书。查看Mozilla和 Google错误报告以获取详细信息。
关于apache - 让我们用 ECC (P-521) 加密 csr,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43764795/