由于 SHA-1 证书指纹较弱,我的网站 https 未能通过 PCI 扫描。请直接在证书上查看描述 SHA-1 指纹的附加图像....
证书是通过 GoDaddy 购买的...我已尝试使用 SHA-256 重新生成新的私钥和 CSR,如下所示:
openssl req -newkey rsa:2048 -fingerprint -sha256 -nodes -key mydomain.com.key -out mydomain.com.new.csr
但结果相同。有谁知道在创建 CSR 期间如何将指纹预测为 SHA-2?
最佳答案
指纹不是证书中的属性,它是对证书内容的 SHA-1 计算。由于 SHA-1 指纹,您不能使 PCI 失败。所有证书都有它们...和 MD5 指纹等,因为这只是事后计算。
更有可能的是您的证书是使用 RSA-SHA-1 签名的。来自公共(public) CA 的任何新证书都应该使用更强的签名算法,因此它应该只是“获取新证书”。
关于ssl - 更改证书 csr 的指纹 SHA,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59023938/