Мы хотим получить запросы CSR с длиной ключа 2048 бит. Графический интерфейс на основе браузера предоставляет нам 1024-битный CSR, и я не знаю, как это изменить.
Кажется, что длина ключа 1024 бит больше не будет поддерживаться компаниями SSL. (Более дешевые варианты поддерживают только 2048 бит. Thawte, которые стоят намного дороже, говорят, что они принимают 1024 только на один или два года, но не на 3). В рассматриваемых устаревших системах используется Sun ONE Webserver 6.1. Обновление займет много времени, и мы бы предпочли не делать этого прямо сейчас. Мы будем постепенно отказываться от них, но это займет некоторое время, так что ...
Это для той же версии веб-сервера, которую я использую.
/opt/SUNWwbsvr/bin/https/admin/bin/certutil -R -s "CN=sub.domain.ext,OU=org unit,O=company name,L=city,ST=spelled state,C=US,E=email" -a -k rsa -g 2048 -v 12 -d /opt/SUNWwbsvr/alias -P https-sub.domain.ext-hostname- -Z SHA1
Я использовал команду, описанную на эта страница.
Это для той же версии веб-сервера, которую я использую.
/opt/SUNWwbsvr/bin/https/admin/bin/certutil -R -s \
"CN=sub.domain.ext,OU=org unit,O=company name,L=city,ST=spelled state,C=US,E=email" \
-a -k rsa -g 2048 -v 12 -d /opt/SUNWwbsvr/alias -P https-sub.domain.ext-hostname- -Z SHA1
У меня нет места, где я могу это протестировать, поэтому в основном это мысли о том, что бы я попробовал ...
Сначала создайте резервную копию cert8.db и где-нибудь key.db. Затем удалите оригиналы и попробуйте создать что-нибудь новое:
% certutil -S -x -n nickname -t "u,u,u" -v num_of_valid_months -s subjectDN -d /opt/SUNWwbsvr/alias/https-sub.domain.ext-hostname-cert8.db [-h tokenname]
Я просматриваю возможности: http://developers.sun.com/appserver/reference/techart/keymgmt.html
Это работает? Тогда работает ли следующее?
certutil -L -d /opt/SUNWwbsvr/alias/https-sub.domain.ext-hostname-cert8.db
Если да, что произойдет, если вы перезапустите веб-сервер? Нравится ли новый сертификат? Если ему нравится сертификат, вы можете попробовать создать запрос на подпись вместо 2048 бит.