我們使用ECC加密csr（P-521）

Question

我試圖用Let's Encrypt爲我的Web服務器生成證書。我想用openssl手動生成密鑰和csr，然後使用letsencrypt/certbot獲取證書。我特別希望證書使用sha256withecdsa。特別是我想用曲線secp521r1（又名P-521）。

密鑰生成和CSR生成做工精細，但是，當我輸入命令

certbot certonly --apache -d [censored] --csr mycsr.csr --agree-tos 

我收到以下錯誤：

The request message was malformed :: Invalid key in certificate request :: ECDSA curve P-521 not allowed

是ECDSA仍然不支持的，還是我做任何事情錯誤？

Answer 1

雖然在X.509證書中使用P-521爲valid，但大多數瀏覽器都不支持該功能，因爲它不是Suite B的一部分，因此不太受歡迎。因此，使用P-521將生成Certbot doesn't allow證書，因爲瀏覽器無論如何都會拒絕它。您仍然可以使用P-256和P-384曲線生成證書。有關詳細信息，請參閱Mozilla和Google錯誤報告。