Я создал свой закрытый ключ и запрос сертификата, используя openssl req -new -newkey rsa:65536 > server.cert.csr. Это заняло несколько минут и произвело 2 файла.
Затем я расшифровал свой закрытый ключ, используя openssl rsa -in privkey.pem -out server.cert.key
Теперь я хочу самостоятельно подписать свой сертификат, используя openssl x509 -in server.cert.csr -out server.cert.crt -req -signkey server.cert.key -days 365 но это приводит к ошибке:
Signature did not match the certificate request
Я попробовал ту же процедуру, используя меньшие ключи (всего 4096 бит), и тогда она сработала. Нет возможности получить самоподписанный ключ длиной 65536 бит?
В чем именно проблема или это просто ошибка? Я уверен, что не смешивал закрытые ключи или запросы сертификатов.
Звучит как ошибка в openssl, но все же - закрытый ключ 65 КБ не даст вам супер-безопасного vpn, только супер-медленный (более длинное шифрование / дешифрование с использованием более длинного ключа) - значение 8 КБ должно быть довольно безопасным для следующие десятилетия. Я бы рекомендовал использовать ключ 4k.
На самом деле было бы намного безопаснее чередовать закрытые ключи / сертификаты по расписанию, чем иметь огромный ключ шифрования.
Посмотрите эту ветку и узнайте, что придумали крипто-эксперты https://crypto.stackexchange.com/questions/1182/are-there-practical-upper-limits-of-rsa-key-lengths