将SHA-1证书迁移至SHA-2哈希算法
虽然目前似乎不会立即出现危险,但DigiCert强烈建议管理员尽快迁移至SHA-2。
以下迁移指南将帮助管理员规划并部署SHA-2 SSL证书。
SHA-1至SHA-2迁移步骤
- 检查SHA-2证书的支持环境
第一步是确保您的环境,包括软件和硬件,可支持SHA-2证书。请参阅SHA-2兼容性页面,以获取有关受支持的硬件和软件的列表。
如果部分环境不支持SHA-2,那么您必须先替换或升级这些部分,然后才能实施新的证书。
- 查找所有SHA-1证书
使用Discovery等扫描工具,查找网络中的所有SHA-1证书,而无论这些证书由哪些机构所颁发。
- 为每个SHA-1证书生成新的CSR
为服务器上所安装的仍在使用SHA-1的任何证书生成新的证书签名请求(CSR)。
DigiCert为所有主要服务器类型提供有用的CSR生成器,实现CSR生成流程的自动化。您可以在创建CSR(证书签名请求)页面的通用平台&操作系统部分访问DigiCert CSR生成器。
- 将SHA-1证书替换为SHA-2证书
要用SHA-2证书替换现有的SHA-1证书,您可以重新颁发证书、续订证书或购买新证书。
- 安装新的SHA-2证书
收到新证书后,请将新证书及其所需的任何其他中间证书一起安装在网络中。
DigiCert网站的支持部分包含大量支持文章,可回答关于在环境中安装证书的任何问题。
如果您在使用DigiCert® Certificate Utility for Windows,您可以使用我们创新的快速安装功能,此功能将实现流程的自动化,只需点击几下即可帮助您安装证书。请参阅SSL证书导入说明:DigiCert® Certificate Utility for Windows。
- 测试证书安装
最后一步是测试您的网站并确保证书已安装并正常工作。您可以使用免费的DigiCert SSL安装诊断工具来查找问题。您还可以使用Discovery以确保您没有引入基于证书配置方法的其他潜在漏洞。
免费替换SHA-1证书
DigiCert很清楚迁移至SHA-2的难度。为了使SHA-1证书的迁移尽可能的简单,我们免费提供几个选项。
迁移至SHA-2:
您可以重新颁发、续订或替换。DigiCert证书可无限次免费重新颁发,因此您可以轻松地将SHA-1证书替换为SHA-2证书。
重新颁发任何现有的DigiCert证书:
您可以登录您的DigiCert客户账户,在账户内按照重新颁发DigiCert® SSL证书的说明进行操作。
续订任何现有的DigiCert证书:
DigiCert客户也可以续订现有证书以获取SHA-2。从证书到期前90天开始,您的DigiCert客户账户中会出现一个续订按钮,能让您续订证书。
非DigiCert证书:
对于非DigiCert证书,您可以停用现有的SHA-1证书并免费升级到DigiCert SHA-2证书。