TLS证书要求

Question

1. 任何证书可以用于TLS吗？
2. 对于TLS，证书应该满足哪些要求？Sha2 1/Sha2{密钥规格}等。

Answer 1

任何证书可以用于TLS吗？

不是的。有证书，例如用于代码签名的证书，只用于颁发其他证书的证书，.证书的各个部分定义了如何使用证书，主要是基本约束、密钥使用和扩展密钥使用。

有关更多信息，请参见每个密钥交换方法都需要哪些密钥用法？、扩展密钥使用扩展在上是强制性的吗？、TLS/SSL证书-密钥的使用和加密、是否可以使用代码签名证书作为TLS证书？、我可以使用相同的ssl证书来保护我的网站并签署我的应用程序吗？。

对于TLS，证书应该满足哪些要求？Sha2 1/Sha2{密钥规格}等。

要被广泛接受，键使用扩展应该至少包含digitalSignature和keyEncipherment，扩展的密钥使用应该至少包含serverAuth。主题替代名称应该与完全限定的域名相匹配，它应该由可信CA直接或间接地(通过中间CA证书)颁发，密钥类型应该是RSA (更好的>=2048位)或ECC (更好的>=256位)、签名算法SHA-256 (或更好)……在某些情况下可能还有更多的限制，比如使用X509扩展来提高证书的透明度等等。CA通常做正确的事情，所以看看你为典型网站获得的证书。