Wie ein eigenes Zertifikat ohne SHA1 erstellen ?

[Sedo]

Hallo

Da ich kein allzu großer Freund der des Zertifikat Tools von Synology bin, erstelle ich mir die immer selber.
Die Seite vom Synology Wiki funktioniert dabei ganz gut http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats

In meinem falle sieht das wichtige ungefähr so aus, funktioniert an sich sehr sehr fein.

openssl genrsa -aes128 -out ca.key 4096
openssl req -config ca.config -new -key ca.key -out ca.csr
openssl x509 -days 7200 -signkey ca.key -in ca.csr -req -extfile extfile.cnf -out ca.crt

openssl genrsa -out server.key 4096
openssl req -config server.config -new -key server.key -out server.csr
openssl x509 -days 7200 -CA ca.crt -CAkey ca.key -set_serial 01 -in server.csr -req -extfile extfile.cnf -out server.crt

Mein Problem ist das SHA1 Zertifikate werden bald zum Problem, also will ich auf SHA256 ( macht es Sinn auf SHA512 zu wechseln ? geht das überhaupt auf ner Sonology ? ) wechseln.

Darum hab ich mich auf die Suche gemacht und bin auf diese Seite hier gestoßen https://remysharp.com/2014/10/17/how-to-add-ssl

Demnach müsste das dann ungefähr so aussehen

openssl genrsa -aes128 -out ca.key 4096
openssl req -config ca.config -new -sha256 -key ca.key -out ca.csr
openssl x509 -days 7200 -signkey ca.key -in ca.csr -req -extfile extfile.cnf -out ca.crt

openssl genrsa -out server.key 4096
openssl req -config server.config -new -sha256 -key server.key -out server.csr
openssl x509 -days 7200 -CA ca.crt -CAkey ca.key -set_serial 01 -in server.csr -req -extfile extfile.cnf -out server.crt

aber das funktioniert so nicht, es kommen immer noch SHA1 Zertifikate dabei rausgefallen >.<

Kennt einer ne Lösung dafür ? SHA256 muss ja gehen wenn die Original Synology Zertifikate jetzt auch sha256 haben

Liebe Grüße und Danke schonmal

 

[Sedo]

Ich wollte nur mal kurz zur Aufklärung bescheid geben, falls jemand anderes mal vor dem selben Problem stehen sollte, das ich es geschaft habe mein Problem zu lösen

openssl genrsa -aes128 -out ca.key 4096
openssl req -config ca.config -new -key ca.key -out ca.csr -sha256
openssl x509 -days 7200 -signkey ca.key -in ca.csr -req -extfile extfile.cnf -out ca.crt -sha256

openssl genrsa -out server.key 4096
openssl req -config server.config -new -key server.key -out server.csr -sha256
openssl x509 -days 7200 -CA ca.crt -CAkey ca.key -set_serial 01 -in server.csr -req -extfile extfile.cnf -out server.crt -sha256

So hat es am Ende funktioniert, das das Zertifikat am Ende mit SHA 256 signiert ist. Für Verbesserungsvorschläge bin ich natürlich immer offen.

 

[Frogman]

Verbessern nicht - aber eine Suche nach bsp. 'sha256' hätte Dir dieses geliefert...

 

[Sedo]

Eine Suche hat mir genau das geliefert °gg° aber leider erst nachdem ich das Eingangspost geschrieben hatte ^.^

Außerdem mag ich konkrete Beispiele, weil des öfteren neigen Leute die total im Thema sind solche Sätze zu sagen wie auf der von dir verlinkten Seite

Wenn also jemand in der nächsten Zeit ein eigenes SSL-Zertifikat verwenden möchte und
dazu einen CSR an die Root-CA seiner Wahl erstellt, sollte den Schalter -sha256 verwenden

Und sofort kommen dir zig leichte und schwere Fragen in den Kopf ....

Welchen Befehl betrifft es genau ?
Ist die Position wichtig ?
Ist es eine Option für einen Befehl in der Befehlskette oder gilt sie allgemein ?
Brauch ich es für beide ?
Habe ich vorteile / nachteile wenn ich es für beide mache ?

Am Ende weist du dann erst recht nicht was du genau machen sollst ^.^

 

[Frogman]

Na, dann ist es ja schön, dass Du es geschafft hast, Dein Problem zu lösen...