SSL/TLS证书更新？

Question

我们有一个使用openssl0.9.8的设置，所以它只支持SSLv2和TLSv1.0。我们有一个脚本，它生成自签名的X.509证书，并使用openssl库。

现在，我们已经将openssl升级到openssl1.0.1，以支持TLSv1.2。那么，我是否需要创建一个新的X.509证书来支持TLSv1.2？

Answer 1

现在，我们已经将openssl升级到openssl1.0.1，以支持TLSv1.2。那么，我是否需要创建一个新的X.509证书来支持TLSv1.2？

SSL/TLS服务器证书声明服务器的标识。此证书独立于SSL/TLS协议版本。在向客户端提交证书之前，在连接期间协商SSL/TLS版本。如果启用TLSv1.2支持，那么客户端就能够使用更安全的密码并防止其他攻击。更改协议版本时不需要创建新证书。

即使较新的协议可以使用旧证书，也可能需要检查证书的参数。特别是：

• MD5和SHA-1签名被认为是不安全的.移到SHA-256。
• 1024位RSA密钥被认为不安全.考虑移动到2048位RSA或更好。

可以使用以下命令检查X.509证书的内容：

openssl x509 -noout -text -in your.crt

要配置TLS参数，可以开始读取https://wiki.mozilla.org/Security/Server_侧边_TLS。

Answer 2

不是的。你不需要这么做。这主要是tls 1.2和1.0不同的密码套装

Answer 3

首先，我希望您不要在服务器上使用OpenSSL1.0.1，因为它容易受到HeartBleed的攻击。

在回答您的问题之前，让我们看看X.509证书中的一些主要元素(来自RFC 5280)：

Certificate
    Version
    Serial Number
    Algorithm ID
    Issuer
    Validity
        Not Before
        Not After
    Subject
    Subject Public Key Info
        Public Key Algorithm
        Subject Public Key
    Issuer Unique Identifier (optional)
    Subject Unique Identifier (optional)
    Extensions (optional) 

你可以自己注意到，所有的元素都是一样的。如果不更改密钥和使用的算法，则证书仍然有效。

我的意思是，您不需要颁发其他证书，因为OpenSSL0.9.8的所有密码套件都存在于您的ne OpenSSL版本中，另外还有以下列表：

TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_CBC_SHA256 ECDHE-ECDSA-CAMELLIA128-SHA256
 TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_CBC_SHA384 ECDHE-ECDSA-CAMELLIA256-SHA384
 TLS_ECDH_ECDSA_WITH_CAMELLIA_128_CBC_SHA256  ECDH-ECDSA-CAMELLIA128-SHA256
 TLS_ECDH_ECDSA_WITH_CAMELLIA_256_CBC_SHA384  ECDH-ECDSA-CAMELLIA256-SHA384
 TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256   ECDHE-RSA-CAMELLIA128-SHA256
 TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384   ECDHE-RSA-CAMELLIA256-SHA384
 TLS_ECDH_RSA_WITH_CAMELLIA_128_CBC_SHA256    ECDH-RSA-CAMELLIA128-SHA256
 TLS_ECDH_RSA_WITH_CAMELLIA_256_CBC_SHA384    ECDH-RSA-CAMELLIA256-SHA384

为了回答你通过对另一个答案的评论而提出的问题，证书只是用来证明你拥有你假装是你的公钥。