我应该使用哪种加密AES/DES作为ssl证书的私钥？

加密参数openssl genrsa命令用于指定用于加密私钥的算法(使用您指定的密码).

CSR(证书签名请求)包括您的公钥和一些其他公共信息,以包含在证书中.CSR从不包含私钥.

因此,加密私钥的算法选择与CSR完全无关.选择你喜欢的任何东西 AES变体和Triple-DES(-des3)应该是首选; 如今,普通的DES通常被认为是不安全的.另请参阅为什么AES比DES更安全.但我认为在这种特殊情况下的算法选择并不像使用强密码并保护它一样重要.

注意:请记住,如果使用密码保护私钥,则每次要访问私钥时都会提示您输入密码,例如启动Web服务器时.如果您忘记了密码,您的私钥将被丢失,您必须生成新密钥并申请新证书.你可以生成一个私钥不加密(无密码)openssl genrsa -out filename.key 2048.也有可能(实际上,其存储未加密)删除密码使用命令像这样在任何时间:openssl rsa -in encrypted.key -out unencrypted.key.您需要密码(系统会提示您输入密码).