SSL / TLS–SHA-1弃用和SHA-256支持

张贴者 于2015年7月27日在 支持博客

主题关键字: ,

这篇文章供在NowSMS中使用SSL / TLS服务器功能的所有客户参考。

业界已弃用SHA-1签名的服务器证书,而采用了一种更安全的算法SHA-256。 SHA是大多数SSL证书使用的流行哈希算法。随着计算能力的提高,打破SHA-1哈希的可能性也增加了。已经制定了从SHA-1过渡到SHA-256的行业计划。但是,随着Microsoft和Google最近宣布降低浏览器对SHA-1的支持,这种过渡已经加速。

有关此问题的更多信息,请参考以下链接:

一些较旧的Web浏览器不支持SHA-256,而仅支持SHA-1。可以在此处找到显示哪些浏览器和操作系统支持SHA-256的列表: //support.servertastic.com/sha2-sha256-compatibility/  推断早于该列表中的版本将不支持SHA-256。 (未升级到SP3的Windows XP用户是大多数不支持的用户。)

使用哪种SHA算法由证书签名请求(CSR)决定。可以从以下位置下载NowSMS的更新以生成SHA-256 CSR: http://www.zgbianpofanghuwang.com/download/smsssl-sha256.zip

此更新仅与NowSMS的2014和2015版本兼容。

要安装更新,请停止NowSMS服务并退出NowSMS。

  1. 用此版本替换Program Files \ NowSMS目录中的现有SMSSSL.DLL。
  2. 如果您以前从未从证书颁发机构请求签名证书,则只需转到NowSMS配置的SSL / TLS页面,然后选择“生成服务器证书”。
  3. 不幸的是,更改为2048位密钥要求将为已经具有由证书颁发机构(CA)签名的SSL证书的客户带来续订问题。
  4. 当您的续订时间到来时,许多CA不会续订您的证书,直到您切换到SHA-256签名的CSR。
  5. 但是,如果使用NowSMS生成新的服务器证书请求,这将强制现有证书立即失效,这可能在证书续订过程中对现有客户端造成问题。 (此问题并非特定于NowSMS…许多Web服务器管理员都面临类似的问题。)
    如果您遇到NowSMS的续订问题,请按照以下步骤操作:
  6. 找到并备份以下NowSMS文件(位于Program Files \ NowSMS或ProgramData \ NowSMS中):
    SSL.CRT
    SSL证书
    SSL证书
    SSL文件
    SSL密钥
  7. 在NowSMS的“ SSL / TLS”页面上,选择“生成服务器证书”选项。
  8. 将警告您,这样做将使您现有的证书无效。如果已备份上述文件,请选择“是”继续。
  9. 生成新证书签名请求后,将新版本的SSL.CRT,SSL.CSR,SSL.INI和SSL.KEY复制到另一个位置以进行备份。 (注意:将没有SSL.CA文件,因为在您从CA取回已签名的证书之前该文件将不存在。)
  10. 将这些文件的旧备份副本(包括SSL.CA)放回相应的NowSMS目录中。
    使用新的SSL.CSR向您的CA请求签名证书。从CA获得签名证书后,将其另存为SSL.CA。
  11. 将这些文件的新版本(包括SSL.CA)复制到相应的NowSMS目录中,然后重新启动NowSMS服务。

如有评论和更多讨论,请单击此处访问NowSMS技术论坛(讨论板)...