Menu Close
Settings Close

Language and Page Formatting Options

3.8. 重新启用 SHA-1

使用 SHA-1 算法创建和验证签名在 DEFAULT 加密策略中受到限制。如果您的场景需要使用 SHA-1 来验证现有或第三方加密签名,您可以通过应用 SHA1 子策略来启用该签名,RHEL 9 默认提供它。请注意,它较弱了系统的安全性。

先决条件

  • 系统使用 DEFAULT 系统范围的加密策略。

步骤

  1. SHA1 子策略应用到 DEFAULT 加密策略:

    # update-crypto-policies --set DEFAULT:SHA1
    Setting system policy to DEFAULT:SHA1
    Note: System-wide crypto policies are applied on application start-up.
    It is recommended to restart the system for the change of policies
    to fully take place.
  2. 重启系统:

    # reboot

验证

  • 显示当前加密策略:

    # update-crypto-policies --show
    DEFAULT:SHA1
重要

使用 update-crypto-policies --set LEGACY 切换到 LEGACY 加密策略命令也会启用 SHA-1 进行签名。但是,LEGACY 加密策略还启用了其他弱加密算法,使您的系统变得更加容易受到攻击。这个临时解决方案只适用于需要启用其他传统加密算法比 SHA-1 签名的情况。