2

我需要一个用于 Web 服务器的 SSL 证书。我可以使用以下 OpenSSL 命令生成自签名 SSL 证书:

openssl req -newkey rsa:512 -x509 -days 365 -nodes -out cert.pem -keyout cert.pem
openssl dhparam -inform pem -in cert.pem -outform pem -out dhparam.pem 512
cat dhparam.pem >> cert.pem 

如果我想要一个 CA 签名的证书,我可以生成一个 CSR(证书签名请求):

openssl req -newkey rsa:512  -nodes -out cert.csr -keyout cert.key

并将其发送给一个 CA。进而 ?我想知道 CA 发回的是什么:只有证书,还是证书DH 参数,因为它们用于浏览器和服务器之间的协商?

4

3 回答 3

2

证书颁发机构通常只获取 CSR 中的公钥并将其放入具有自己的 DH 参数的证书中。

于 2009-08-27T13:05:03.093 回答
0

实际上,openssl req 足以生成自签名证书。DH 参数不需要与 SSL 证书一起使用 - 或者它们可以在 CA 生成的证书中找到。

因此,CA 只会发回一个必须与私钥一起使用的证书文件(例如 .crt 文件)。

于 2009-08-27T12:12:07.337 回答
0

CA 通常会发回使用 CA 私钥签名的 .PEM 文件

于 2013-05-15T06:52:10.313 回答