Ssl-Certificate

當 CSR 用於 SHA-1 時,我可以獲得 SHA-256 證書嗎?

  • January 7, 2016

我讀了:

預設情況下,OpenSSL 加密工具配置為生成 SHA1 簽名。例如,如果要生成 SHA256 簽名的證書請求 (CSR),請在命令行中添加:-sha256

我需要將現有的 SHA1 證書升級到 SHA256。我生成了一個新的 CSR 並將其發送到 RapidSSL,然後才意識到我沒有-sha256在 CSR 中指定。

我已經聯繫了他們,他們說*“已經更換了 Sha2 證書,訂單的目前狀態正在等待批准。一旦訂單獲得批准,將使用 SHA2 算法頒發新證書。”*

我的問題是,他們是否有可能獲得我的 SHA1 CSR 並說“好的,我們無論如何都會給你一個 SHA256 證書,因為這就是我們現在所做的一切”?該證書是否可以與我生成的與該 SHA1 CSR 對應的私鑰一起使用?

它是如何工作的?當我在生成 CSR 時傳入-sha256(或未傳入)時,除了在 CSR 中記下“嘿,此人希望在其證書上進行 SHA256 加密”之外,這會產生什麼影響?它會以任何方式影響生成的私鑰嗎?

這是可能的,因為 CSR 的簽名僅用於證明您確實是與嵌入在 CSR 中的公鑰匹配的私鑰的所有者。一旦 CA(在您的情況下為 RapidSSL)確定 CSR 有效,它的簽名對於創建證書的進一步過程變得毫無意義並被有效地丟棄。

有關證書內容的完整詳細資訊,請參閱rfc5280-4.1.2

引用自:https://serverfault.com/questions/747233