openssl - Какой MD по умолчанию для открытого ключа

Question

openssl - Какой MD по умолчанию для открытого ключа

В openssl. cnf default_md (использовать MD с открытым ключом по умолчанию) установлен на default . Как я могу узнать значение по умолчанию без создания сертификата? Есть ли файл, в котором я могу проверить, где указаны значения по умолчанию?

5

ssl-certificate openssl

задан abalone 18 December 2015 в 22:04

Ссылка

2 ответа


         
         
            
               
                  

                    

                  
              
           

   
         
            
               
                  
                     Начиная с версии 1.0.0 (в 2010 г.), хэш по умолчанию, используемый req и ca — или, точнее, хэш по умолчанию, используемый внутренними функциями, которые вызывают эти команды,  X509_sign x509_req_sign x509_crl_sign  - определяется в  asn1_item_sign , вызывая  avp_pkey_get_default_digest_nid , который использует  PKEY-> AMETH-> PKEY_CTRL (PKEY, ASN1_PKEY_CTRL_DEFAULT_MD_NID, ...) . Таким образом, в принципе выбор хэша может зависеть от типа ключа или даже самого ключа, но для трех поддерживаемых в настоящее время типов подписи открытого ключа (RSA, DSA, ECDSA) он фактически жестко закодирован: в 1.0.0 и 1.0. 1 это SHA1, а в 1.0.2 1.1.0 и 1.1.1 это SHA256. 
До этого, в версии 0.9.8, значение по умолчанию для req было жестко запрограммировано как SHA1, а для ca по умолчанию не было: если вы не указали хэш на командной строке, и у вас не было default_md установленного на действительный хэш, это не удалось. Конфигурация восходящего потока, которая может использоваться или не использоваться в каждом конкретном случае, имеет значение sha1. 
                  
                  0

                  
                  
                     ответ дан dave_thompson_085
                     20 July 2020 в 07:13 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
              



      
        Теги
        
         ssl-certificate openssl       

        Похожие вопросы
        
          
                          204 
 Heartbleed: Что это и что опции состоят в том, чтобы смягчить его? - 17 March 2017 12:13 
                            200 
 Отображение удаленного сертификата SSL детализирует инструменты CLI использования - 24 January 2015 00:13 
                            187 
 как загрузить сертификат SSL с веб-сайта? - 11 February 2014 07:46 
                            187 
 как загрузить сертификат SSL с веб-сайта? - 11 February 2014 07:46 
                            142 
  Есть ли причина для использования сертификата SSL, кроме бесплатного SSL от Let's Encrypt?  - 18 August 2018 12:29 
                            115 
 Как я смотрю детали цифрового сертификата .cer файл? - 19 January 2017 20:50 
                            115 
 Местоположение сертификата SSL на UNIX/Linux - 4 September 2009 18:57 
                            115 
 Как я смотрю детали цифрового сертификата .cer файл? - 19 January 2017 20:50 
                            104 
 Как просмотреть все сертификаты SSL в пакете? - 25 April 2014 08:59 
                            104 
 Как просмотреть все сертификаты SSL в пакете? - 25 April 2014 08:59 
                            97 
 Корневое истечение сертификата центра сертификации и обновление - 22 February 2015 09:15 
                            88 
 Heartbleed: как к надежно и портативно проверяют версию OpenSSL? - 13 April 2017 15:14 
                            85 
 Действительно ли возможно генерировать ключ RSA без пароля? - 5 March 2012 08:28 
                            83 
 Подстановочный сертификат SSL должен защитить обоих корневой домен, а также субдомены? - 12 September 2011 19:12 
                            77 
  ssh-keygen не создает закрытый ключ RSA  - 28 November 2018 11:38

score 4 · Answer 1 · 3 December 2019 в 01:43

md означает дайджест сообщения и начиная с версии openssl 1.1 по умолчанию используется sha256.




 -md алг
 
 дайджест сообщения для использования. Можно использовать любой дайджест, поддерживаемый командой OpenSSL dgst. Эта опция также применима к CRL.


https://www.openssl.org/docs/manmaster/man1/ca.html


 В Openssl 1.1 дайджест по умолчанию изменен с MD5 на SHA256.


https://www.openssl.org/docs/manmaster/man1/dgst.html

dave_thompson_085 · Answer 2 · 20 July 2020 в 07:13

Начиная с версии 1.0.0 (в 2010 г.), хэш по умолчанию, используемый req и ca — или, точнее, хэш по умолчанию, используемый внутренними функциями, которые вызывают эти команды, X509_sign x509_req_sign x509_crl_sign - определяется в asn1_item_sign , вызывая avp_pkey_get_default_digest_nid , который использует PKEY-> AMETH-> PKEY_CTRL (PKEY, ASN1_PKEY_CTRL_DEFAULT_MD_NID, ...) . Таким образом, в принципе выбор хэша может зависеть от типа ключа или даже самого ключа, но для трех поддерживаемых в настоящее время типов подписи открытого ключа (RSA, DSA, ECDSA) он фактически жестко закодирован: в 1.0.0 и 1.0. 1 это SHA1, а в 1.0.2 1.1.0 и 1.1.1 это SHA256.

До этого, в версии 0.9.8, значение по умолчанию для req было жестко запрограммировано как SHA1, а для ca по умолчанию не было: если вы не указали хэш на командной строке, и у вас не было default_md установленного на действительный хэш, это не удалось. Конфигурация восходящего потока, которая может использоваться или не использоваться в каждом конкретном случае, имеет значение sha1.