将SHA-1证书更换为SHA-256证书|Migrating SSL Certificate from SHA-1 to SHA-256

买买买|Buy Buy Buy wdlth 6609℃ 0评论

昨天在V2EX上看见一个SSL证书的优惠,5年25元人民币的AlphaSSL Wildcard SSL证书。因为原来我已经买有了那个8美元5年的Wildcard SSL证书,我还考虑是否再次购买。经过搜索后我知道了AlphaSSL新颁发的证书是支持SHA-256算法的,我决定还是买吧。

SHA-256算法CSR生成命令:

openssl req -new -newkey rsa:2048 -nodes -sha256 -out wildcard.domain.tld.sha256.csr -keyout wildcard.domain.tld.key

照着网站上面的指引购买了一个Key,但是不幸的是支付宝没有回调成功,可能是服务器压力太大,和客服交谈后获得Key,再回到网站继续申请。提交CSR后,和大多数购买的用户一样,出现了无限Loading中的情况,看来只能慢慢等了。等待了大概40分钟,终于出现验证域名的链接。一般我们申请SSL证书时,证书颁发商大都是使用Email进行验证,但是这个可以通过TXT解析记录来验证的,就像Google站长工具那样。提交解析记录通过验证后,就很快的拿到了证书。

SHA-256证书
颁发者是AlphaSSL CA – SHA256 – G2
SHA-256证书详细信息
签名算法是sha256RSA,签名哈希算法是sha256

把证书安装到服务器后,确实不错,旧证书就用来做一些不重要的事情吧。

由于最近OPENSSL POODLE漏洞的影响,我决定重新编译一次Web服务器。因为Tengine很久没有发布新的Release版本,我选用Github上的源码,并用最新的OpenSSL 1.0.1j。

保证SSL配置通过Forward Secrecy(正向保密)和FIPS(联邦信息处理标准)且启用OCSP stapling(在线证书协议装订)。

Nginx SSL配置如下:

listen 443 ssl spdy;
ssl_certificate sha256.crt;
ssl_certificate_key sha256.key;
ssl_session_timeout 10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:EDH-DSS-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DES-CBC3-SHA;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:5m;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate ca-certs.pem;
resolver 74.82.42.42 8.8.8.8;
add_header Strict-Transport-Security "max-age=31536000";

ca-certs.pem内容为AlphaSSL – SHA256 – G2中间证书及GlobalSign根证书。

由于低版本的IE浏览器不支持Forward Secrecy,可能会影响访问,但是对于我而言是没问题的。ssllabs的评分为A+。

ssllabs评分A+

转载请注明:WDLTH's 斯巴达 » 将SHA-1证书更换为SHA-256证书|Migrating SSL Certificate from SHA-1 to SHA-256

喜欢 (135)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
cnzz1000134333