我读了:
默认情况下,OpenSSLencryption工具被configuration为创buildSHA1签名。 例如,如果要生成SHA256签名的证书请求(CSR),请在命令行中添加:-sha256
我被要求将现有的SHA1证书升级到SHA256。 我产生了一个新的企业社会责任,并将其发送给RapidSSL,然后才意识到我没有在CSR中指定-sha256 。
我已经联系他们,他们说: “已经取得了一个Sha2证书,目前的订单状态正在等待批准。一旦订单被批准,新的证书将发行SHA2algorithm。
我的问题是,他们有可能得到我的SHA1 CSR,并说“好吧,我们现在给你一个SHA256证书,因为我们现在就这样做”? 那么这个证书是否可以和我生成的对应于SHA1 CSR的私钥一起工作呢?
它是如何工作的? 当我在产生一个CSR时通过了-sha256 (或者我没有这样做),除了在CSR上注明“嘿,这个人需要在他们的证书上encryptionSHA256”之外,还有什么影响呢? 它以任何方式影响生成的私钥?
这是可能的,因为CSR的签名只是用来certificate您确实是与CSR中embedded的公钥相匹配的私钥的所有者。 一旦CA(您的案例中的RapidSSL)确定CSR是有效的,签名对于创build证书的进一步过程变得毫无意义,并且被有效地丢弃。
有关证书内容的详细信息,请参阅rfc5280-4.1.2