3.4. 重新启用 SHA-1
使用 SHA-1 算法创建和验证签名在 DEFAULT
加密策略中受到限制。如果您的场景需要使用 SHA-1 来验证现有或第三方加密签名,您可以通过应用 SHA1
子策略来启用该签名,RHEL 9 默认提供它。请注意,它较弱了系统的安全性。
先决条件
-
系统使用
DEFAULT
系统范围的加密策略。
步骤
将
SHA1
子策略应用到DEFAULT
加密策略:update-crypto-policies --set DEFAULT:SHA1
# update-crypto-policies --set DEFAULT:SHA1 Setting system policy to DEFAULT:SHA1 Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重启系统:
reboot
# reboot
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
显示当前加密策略:
update-crypto-policies --show
# update-crypto-policies --show DEFAULT:SHA1
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
重要
使用 update-crypto-policies --set LEGACY
切换到 LEGACY
加密策略命令也会启用 SHA-1 进行签名。但是,LEGACY
加密策略还启用了其他弱加密算法,使您的系统变得更加容易受到攻击。这个临时解决方案只适用于需要启用其他传统加密算法比 SHA-1 签名的情况。