openssl genrsa -out server.key 1024
openssl req -new -key server.key -out server.csr
"CA step here", generates server.crt, at least 2048 bit RSA
Possiamo usare questi due comandi per creare un file server.pem alla fine?
O i web browser, i software generali sicuramente lo rifiuteranno, perché non ha una dimensione di 2048 bit?
O il server.key al primo passaggio non ha importanza per le dimensioni di 1024 bit?
Certificati e autorità di certificazione con chiavi inferiori a 2048 bit non sono una buona scelta per le nuove distribuzioni. A meno che tu non abbia una necessità specifica per questo con hardware o software molto vecchi, di solito c'è un impatto minimo con una chiave da 2048 bit o superiore.
Se le prestazioni sono un problema, e in particolare sui dispositivi embedded / mobile / a bassa potenza, prendi in considerazione l'utilizzo delle chiavi Elliptic-Curve anziché di RSA. Ci sono alcune buone guide su come ottenere ciò.
Mozilla ha già iniziato a pianificare avvertono gli utenti di piccole lunghezze di chiave RSA nel 2015 e gli avvisi per le CA che utilizzano tasti di dimensioni ridotte stanno già spuntando nei browser. Avviso per i certificati stessi inizierà a comparire presto nei browser. Distribuire qualsiasi cosa di nuovo sapendo che questo sta arrivando non è consigliabile.