Avevamo una configurazione che utilizzava openssl0.9.8 quindi supportava solo SSLv2 e TLSv1.0. Avevamo uno script che genera certificati X.509 autofirmati e utilizza la libreria openssl.
Ora abbiamo aggiornato openssl a openssl1.0.1 per supportare TLSv1.2. Quindi, devo creare un nuovo certificato X.509 per supportare TLSv1.2?
Now we have upgraded openssl to openssl1.0.1 to support TLSv1.2. So, do I need to create a new X.509 certificate to support TLSv1.2?
Un certificato server SSL / TLS asserisce l'identità del server. Questo certificato è indipendente dalla versione del protocollo SSL / TLS. La versione SSL / TLS viene negoziata durante la connessione, prima che il certificato venga presentato a un cliente. Se abiliti il supporto TLSv1.2, i client possono utilizzare crittografie più sicure e proteggere da altri attacchi. Non è necessario creare un nuovo certificato quando si cambiano le versioni del protocollo.
Anche se il protocollo più recente può funzionare con il vecchio certificato, è possibile rivedere i parametri del certificato. In particolare:
Puoi controllare il contenuto del tuo certificato X.509 usando il seguente comando:
openssl x509 -noout -text -in your.crt
Per configurare i parametri TLS, puoi iniziare a leggere link
No. Non devi. Sono principalmente i semi cifrati che differiscono tra tls 1.2 e 1.0
Prima di tutto, spero che non stiate utilizzando OpenSSL 1.0.1 sul vostro server perché è vulnerabile a HeartBleed .
Prima di rispondere alla tua domanda, vediamo alcuni degli elementi principali in un certificato X.509 (da RFC 5280 ):
Certificate
Version
Serial Number
Algorithm ID
Issuer
Validity
Not Before
Not After
Subject
Subject Public Key Info
Public Key Algorithm
Subject Public Key
Issuer Unique Identifier (optional)
Subject Unique Identifier (optional)
Extensions (optional)
Puoi notare da solo che tutti gli elementi rimangono gli stessi . Se non si modifica la chiave e l'algoritmo utilizzato, il certificato è ancora valido.
Voglio dire non hai bisogno di emettere un altro certificato poiché tutta la suite di crittografia di OpenSSL0.9.8 esiste nella tua nuova versione OpenSSL che ha, inoltre, questo elenco:
TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_CBC_SHA256 ECDHE-ECDSA-CAMELLIA128-SHA256
TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_CBC_SHA384 ECDHE-ECDSA-CAMELLIA256-SHA384
TLS_ECDH_ECDSA_WITH_CAMELLIA_128_CBC_SHA256 ECDH-ECDSA-CAMELLIA128-SHA256
TLS_ECDH_ECDSA_WITH_CAMELLIA_256_CBC_SHA384 ECDH-ECDSA-CAMELLIA256-SHA384
TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 ECDHE-RSA-CAMELLIA128-SHA256
TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384 ECDHE-RSA-CAMELLIA256-SHA384
TLS_ECDH_RSA_WITH_CAMELLIA_128_CBC_SHA256 ECDH-RSA-CAMELLIA128-SHA256
TLS_ECDH_RSA_WITH_CAMELLIA_256_CBC_SHA384 ECDH-RSA-CAMELLIA256-SHA384
Per rispondere alla tua domanda sollevata tramite il tuo commento all'altra risposta, un certificato viene utilizzato semplicemente per dimostrare che sei il proprietario della chiave pubblica che fingi sia tua.