开发者社区> 问答> 正文

生成、签署 ECC SSL 证书教程

妙正灰 2015-11-07 11:56:14 13367
介绍




椭圆曲线密码学(Elliptic curve cryptography,缩写为ECC),一种建立公开金钥加密的算法,基于椭圆曲线数学。椭圆曲线在密码学中的使用是在1985年由Neal Koblitz和Victor Miller分别独立提出的。


ECC的主要优势是在某些情况下它比其他的方法使用更小的密钥——比如RSA加密算法——提供相当的或更高等级的安全。ECC的另一个优势是可以定义群之间的双线性映射,基于Weil对或是Tate对;双线性映射已经在密码学中发现了大量的应用,例如基于身份的加密。不过一个缺点是加密和解密操作的实现比其他机制花费的时间长。  ——《 椭圆曲线密码学 - 维基百科,自由的百科全书







教程



一、生成 key

openssl ecparam -genkey -name secp384r1 -out vobe-io-ecc.key
-name 参数 prime256v1 或者secp384r1。 256bit 其实安全性和速度都足够了,但是 slllabs 的评测中 OCSP 会报错,而 384 bit 不会,所以我这里选择 384。

二、生成 CSR

openssl req -new -sha384 -key vobe-io-ecc.key -out vobe-io-ecc.csr

在这里我们只需要 sha384 即可,太低会不安全,太高反而会变慢,所以这里我选择和私钥同样位数的 384 bits。
这里之后会提问你很多问题,可以搜索一下 csr 的填写教程。

三、傻瓜一键命令


openssl ecparam -out 你的域名.ecc.pkey -name secp384r1 -genkey && openssl req -new -key 你的域名.ecc.pkey -sha384 -nodes -out 你的域名.ecc.csr -subj "/C=CN/ST=省份/L=城市/O=组织/OU=组织单位/部门/分支/CN=你的域名"

将中文部分修改补齐即可,默认生成 384 bit 的 key 和 csr 。

四、提交证书,等待 crt 文件


然后向你的 SSL 分销商提供你的 csr 文件信息,就会自动签 ECC 证书下来了。

五、替换旧文件


将你的新 key 和 crt 文件上传覆盖旧的

六、来源
本文来自 https://www.vobe.io/410

算法 安全 网络安全 数据安全/隐私保护
分享到
取消 提交回答
全部回答(3)
  • 天津小猫
    2016-01-26 13:27:13
    0 0
  • 瞄大人
    2016-01-23 15:27:46
    Re生成、签署 ECC SSL 证书教程
    版主大人  小白是直接进行步骤三就可以了吗?  SSL 分销商是什么东东 是后台服务器程序面板里(类似amh)设置的吗?还是什么东东

    -------------------------

    我用的是Vesta面板  这个里面生成的csr是不是直接可以用呢?(额...会不会浏览器识别是个叉叉 恩...还是用版主大人的好了 )







    后面的话 是填到这里就可以吗?







    -------------------------

    回 4楼天津小猫的帖子

    -------------------------

    Re生成、签署 ECC SSL 证书教程
    已懂~多谢版主   多去版主博客逛逛还是益处多多哇~
    0 0
  • 51干警网
    2015-11-07 14:39:31
    表示早就去你的博客看了,然后没看懂。
    能协助生成吗?
    0 0
添加回答
+ 订阅

云安全开发者的大本营

推荐文章
相似问题