憑證金鑰類型
除了 RSA 金鑰以外,Web 伺服器 也引進橢圓曲線加密 (ECC) 的支援。
ECC 這款新興的公開金鑰加密系統極受矚目,因為與傳統的加密系統 (如 RSA) 相比,ECC 以更小的金鑰提供同等安全性,這樣計算更快、耗電更低,還可以節省記憶體與頻寬。橢圓曲線加密 (ECC) 已經取得美國政府的認可。
現在,您可以選取是產生憑證請求,還是產生使用 RSA 金鑰或 ECC 金鑰的自我簽署憑證。
以 RSA 金鑰來說,則可以提供不同大小的金鑰 (金鑰大小越大,表示加密越強。預設金鑰大小為 1024)。對於 ECC 金鑰,您應當選擇要用哪種曲線產生金鑰對。多個組織已命名了許多曲線 (ANSI X9.62、NIST、SECG),且 Web 伺服器 支援目前指定的所有曲線。
如果您要請求來自 CA 的憑證 (而不是使用自我簽署憑證),一定要先與您喜好的 CA 連絡,以取得其有關 ECC 用法的最新資訊。詢問他們是否針對您的使用情況建議使用特定的 ECC 曲線。如果 CA 或組織內部策略無法指示您如何選擇曲線,下面有一些建議。請記住,ECC 是一種新興技術,因此從此文件編寫完成起,對於特定使用情況的曲線建議可能已經有所改變。
下方列出一些支援的 ECC 曲線:
|
prime256v1 |
|
secp256r1 |
|
nistp256 |
|
secp256k1 |
|
secp384r1 |
|
nistp384 |
|
secp521r1 |
|
nistp521 |
|
sect163k1 |
|
nistk163 |
|
sect163r1 |
|
sect163r2 |
|
nistb163 |
|
sect193r1 |
|
sect193r2 |
|
sect233k1 |
|
nistk233k1 |
|
nistk233 |
|
sect233r1 |
|
nistb233 |
|
sect239k1 |
|
sect283k1 |
|
nistk283 |
|
sect283r1 |
|
nistb283 |
|
sect409k1 |
|
nistk409 |
|
sect571k1 |
|
nistk571 |
|
sect571r1 |
|
nistb571 |
|
secp160k1 |
|
secp160r1 |
|
secp160r2 |
|
secp192k1 |
|
secp192r1 |
|
nistp192 |
|
secp224k1 |
|
secp224r1 |
|
nistp224 |
|
prime192v1 |
- © 2010, Oracle Corporation and/or its affiliates