將SHA-1憑證遷移至SHA-2雜湊演算法
雖然目前似乎不會立即出現危險,但DigiCert強烈建議管理員儘快遷移至SHA-2。
以下遷移指南將幫助管理員規劃並部署SHA-2 SSL憑證。
SHA-1至SHA-2遷移步驟
- 檢查SHA-2憑證的支援環境
第一步是確保您的環境,包括軟體和硬體,可支援SHA-2憑證。請參閱SHA-2相容性頁面,以獲取有關受支援的硬體和軟體的清單。
如果部分環境不支援SHA-2,那麼您必須先替換或升級這些部分,然後才能實作新的憑證。
- 尋找所有SHA-1憑證
使用Discovery等掃描工具,尋找網路中的所有SHA-1憑證,而無論這些憑證由哪些機構所頒發。
- 為每個SHA-1憑證產生新的CSR
為伺服器上所安裝的仍在使用SHA-1的任何憑證產生新的憑證簽章要求(CSR)。
DigiCert為所有主要伺服器類型提供有用的CSR產生器,實現CSR產生流程的自動化。您可以在創建CSR(憑證簽章要求)頁面的通用平台&作業系統部分存取DigiCert CSR產生器。
- 將SHA-1憑證替換為SHA-2憑證
要用SHA-2憑證替換現有的SHA-1憑證,您可以重新頒發憑證、續訂憑證或購買新憑證。
- 安裝新的SHA-2憑證
收到新憑證後,請將新憑證及其所需的任何其他中繼憑證一起安裝在網路中。
DigiCert網站的支援部分包含大量支援文章,可回答關於在環境中安裝憑證的任何問題。
如果您在使用DigiCert® Certificate Utility for Windows,您可以使用我們創新的快速安裝功能,此功能將實現流程的自動化,只需按幾下即可幫助您安裝憑證。請參閱SSL憑證匯入說明:DigiCert® Certificate Utility for Windows。
- 測試憑證安裝
最後一步是測試您的網站並確保憑證已安裝並正常工作。您可以使用免費的DigiCert SSL安裝診斷工具來尋找問題。您還可以使用Discovery以確保您沒有引入基於憑證設定方法的其他潛在漏洞。
免費替換SHA-1憑證
DigiCert很清楚遷移至SHA-2的難度。為了使SHA-1憑證的遷移盡可能的簡單,我們免費提供幾個選項。
遷移至SHA-2:
您可以重新頒發、續訂或替換。DigiCert憑證可無限次免費重新頒發,因此您可以輕鬆地將SHA-1憑證替換為SHA-2憑證。
重新頒發任何現有的DigiCert憑證:
您可以登入您的DigiCert客戶帳戶,在帳戶內按照重新頒發DigiCert® SSL憑證的指示進行作業。
續訂任何現有的DigiCert憑證:
DigiCert客戶也可以續訂現有憑證以獲取SHA-2。從憑證到期前90天開始,您的DigiCert客戶帳戶中會出現一個續訂按鈕,能讓您續訂憑證。
非DigiCert憑證:
對於非DigiCert憑證,您可以淘汰現有的SHA-1憑證並免費升級到DigiCert SHA-2憑證。