SSL证书可以指定协议吗？

Question

我知道您可以通过您的web服务器设置协议/密码：

Nginx：

ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers         HIGH:!aNULL:!MD5;

阿帕奇：

SSLProtocol all -SSLv2
SSLCipherSuite HIGH:!aNULL:!MD5

但我的问题是，是否可以创建SSL证书以仅用于某些协议？

是否可以创建一个证书来只使用某些密码？

Answer 1

。。只适用于某些协议？只和某些密码一起工作？

证书大多与协议无关。

但是证书和密码之间的相关性很小:密码的一部分指定了认证算法，而可能的算法取决于证书的种类。这意味着您不能使用带有*_ECDSA_*密码的RSA证书，也不能使用带有RSA密钥交换的ECDSA证书。还有ECDH (非ECDHE)和DH (非DHE)密码，它们需要证书中的特定信息。但是对称加密的选择(即AES，RC4.)而HMAC与证书无关。

这意味着可以使用密码的证书限制类型，但不能使用证书中的某些信息直接限制可能的密码或协议。

Answer 2

如果您考虑的是基于证书的身份验证或标识验证(与完整性交换分离，SSL密码真正进入的地方)，这将有所帮助。

该证书只用于验证服务器"x“实际上是"X”而不是"X“。

相反，密码被用来提供一种机制，用于建立用于数据交换的对称密钥。正如您所猜测的，一旦建立了服务器的真实性，这个阶段就会发生。