我正在尝试使用 Let's Encrypt 为我的 Web 服务器生成证书。我想用openssl手动生成密钥和csr,然后使用letsencrypt / certbot来获取证书。我特别希望证书使用
sha256withecdsa
。我特别想使用曲线secp521r1
(又名P-521
)。
密钥生成和 csr 生成工作正常,但是,当我输入命令时
certbot certonly --apache -d [censored] --csr mycsr.csr --agree-tos
我收到以下错误:
请求消息格式错误 :: 证书请求中的密钥无效 :: ECDSA 曲线 P-521 不允许
ECDSA
仍然不受支持,还是我做错了什么?
除了我对@AfroThundr回复的评论之外,事实上,这方面的明确信息来源是https://letsencrypt.org/docs/integration-guide/,它说:
支持的关键算法
Let’s Encrypt 接受长度为 2048 至 4096 位的 RSA 密钥以及 P-256 和 P-384 ECDSA 密钥。对于帐户密钥和证书密钥都是如此。您不能将帐户密钥重复用作证书密钥。
我们的建议是提供双证书配置,默认提供 RSA 证书,并向那些表示支持的客户端提供(小得多的)ECDSA 证书。
现在怎么样? Certbot 现在支持 P-521 吗?