In questa immagine qualcuno può dirmi se un certificato RSA standard può supportare i codici EC * _RSA elencati? Se sì, crei le tipiche chiavi RSA quando crei il CSR?
Inoltre sono abbastanza certo che i codici EC * _ECDSA richiedono l'uso di un certificato ECDSA. È corretto?
Puoi utilizzare solo i codici ECDHE-RSA da questo elenco se tutto quello che hai è un certificato RSA. Stessa cosa per i certificati ECDSA, che possono essere usati solo con i codici ECDHE-ECDSA su quella lista.
ECDH- * è fisso nel senso che il certificato contiene i parametri pubblici fissi per e chiave, che possono essere utilizzati per lo scambio di chiavi. Questo certificato è quindi firmato da una CA con RSA o ECDSA, che porta a cifrari ECDH-RSA- * o ECDH-ECDSA- *.
Detto questo, ECDH non è usato molto. Non so quale sia il tuo ragionamento dietro l'elencazione dei codici ECDH (E), ma se vuoi la segretezza avanzata, dovresti usare solo i cifrari ECDHE- *, poiché generano chiavi diverse per ogni sessione.
Leggi altre domande sui tag openssl public-key-infrastructure certificates rsa cipher-selection